信息安全技术 信息技术安全评估准则 第1部分：简介和一般模型

ICS35.030

CCSL80

中华人民共和国国家标准

GB/T18336.1—202X

代替GB/T18336.1-2015

`

信息安全技术信息技术安全评估准则

第1部分：简介和一般模型

Informationsecuritytechnology–EvaluationcriteriaforITsecurity–

Part1：Introductionandgeneralmodel

(ISO/IEC15408-1:2022,Informationsecurity,cybersecurityandprivacyprotection–

EvaluationcriteriaforITsecurity–Part1:Introductionandgeneralmodel,IDT)

（征求意见稿）

（本草案完成时间：2022.9.28）

XXXX-XX-XX发布XXXX-XX-XX实施

GB/T18336.1—202X

目次

前言...........................................................................IV

引言...........................................................................VI

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4缩略语.............................................................................13

5概述...............................................................................14

5.1引言...........................................................................15

5.2GB/T18336说明.................................................................15

5.3评估对象（TOE）...............................................................18

5.4其余部分内容...................................................................19

6一般模型...........................................................................20

6.1背景...........................................................................20

6.2资产和安全控制.................................................................20

6.3GB/T18336范式的核心结构......................................................22

7安全要求的详细说明.................................................................26

7.1安全问题定义(SPD)..............................................................26

7.2安全目的.......................................................................28

7.3安全要求.......................................................................31

8安全组件...........................................................................35

8.1安全组件的层次结构.............................................................35

8.2操作...........................................................................36

8.3组件之间的依赖性...............................................................40

8.4扩展组件.......................................................................40

9包.................................................................................41

9.1引言...........................................................................41

9.2包的类型.......................................................................42

9.3包的依赖关系...................................................................43

9.4评估方法和/或活动..............................................................43

10保护轮廓..........................................................................43

10.1引言..........................................................................43

10.2PP介绍........................................................................43

10.3符合性声明和符合性陈述........................................................43

10.4安全保障要求(SAR).............................................................45

10.5严格和可论证的符合性所共有的附加要求..........................................46

I

GB/T18336.1—202X

10.6严格符合性的特定附加要求......................................................46

10.7可论证符合性的特定附加要求....................................................47

10.8精确符合的特定附加要求........................................................47

10.9PP的使用......................................................................48

10.10在多PP情况下的符合性性陈述和声明............................................48

11模块化要求的构造..................................................................48

11.1引言..........................................................................48

11.2PP-模块.......................................................................48

11.3PP-配置.......................................................................52

12安全目标（ST）....................................................................60

12.1引言..........................................................................60

12.2符合性声明和陈述..............................................................60

12.3保障要求......................................................................62

12.4精确符合案例中的附加要求......................................................62

12.5多重保障中的附加要求..........................................................63

13评估和评估结果....................................................................65

13.1引言..........................................................................65

13.2评估内容......................................................................67

13.3PP和PP-配置的评估............................................................67

13.4ST评估........................................................................68

13.5TOE的评估.....................................................................68

13.6评估方法和评估活动............................................................68

13.7评估结果......................................................................68

13.8多重保障评估..................................................................69

14复合保障..........................................................................70

14.1引言..........................................................................70

14.2复合模型......................................................................70

14.3在复合模型中提供保障的评估技术................................................72

14.4使用复合技术进行评估的要求....................................................82

14.5通过复合和多重保障进行评估....................................................83

附录A（规范性）包的规范.......................................................85

A.1本附录的目标和结构.............................................................85

A.2包的族.........................................................................85

A.3包.............................................................................85

附录B（规范性）保护轮廓的规范（PP)............................................89

B.1本附录的目标和结构.............................................................89

B.2PP的规范.......................................................................89

B.3PP的强制性内容.................................................................90

B.4参考PP中的其他标准............................................................95

B.5直接基本原理PP.................................................................96

B.6PP的可选内容...................................................................98

附录C（规范性）PP-模块和PP-配置的规范........................................99

II

GB/T18336.1—202X

C.1本附录的目标和结构.............................................................99

C.2PP-模块规范....................................................................99

图C.1展示了PP-模块的内容。........................................................99

C.3PP-配置规范...................................................................107

附录D（规范性）安全目标和直接基本原理安全目标规范............................112

D.1本附录的目标和结构............................................................112

D.2使用ST.......................................................................112

D.3ST的强制性内容...............................................................113

D.4直接基本原理ST................................................................119

D.5ST中的其他参考标准...........................................................121

附录E（规范性）PP/PP-配置的符合性............................................122

E.1引言..........................................................................122

E.2可论证的符合性................................................................122

E.3严格符合性....................................................................123

E.4精确符合性....................................................................123

参考文献......................................................................127

III

GB/T18336.1-202X

引言

针对信息技术产品的安全评估，GB/T18336提供了一套通用的安全功能及其保障措施要求，从而允

许各个独立的IT产品的评估结果之间具有可比性。这些IT产品的实现形式可以是硬件、固件或软件。

基于GB/T18336的评估过程，可为IT产品的安全功能及应用于IT产品的保障措施满足这些要求的情

况建立一个信任级别。评估结果可帮助消费者确定该IT产品实现是否满足其安全要求。

GB/T18336可为具有安全功能的IT产品的开发、评估以及采购过程提供指导。

GB/T18336有很大的灵活性，可将其评估方法应用于范围广泛的一系列IT产品的众多安全属性的评

估之中。因此，GB/T18336的使用者需理解其各部分之间的逻辑关系，按照推荐的评估方法使用标准的

各部分内容，以避免误用该标准的灵活性。例如，若使用GB/T18336时采取了不合适的评估方法/活动、

选择了不相关的安全属性或针对的IT产品不恰当，都将导致无意义的评估结果。

因此，IT产品经过评估的事实只有在提及选择了哪些安全属性，以及采用了何种评估方法的情况下

才有意义。评估授权机构需要仔细地审查产品的安全属性及评估方法，以确定对其评估是否可产生有意

义的结论。另外，评估产品的购买方也需要仔细地考虑评估情况，以确定该产品是否有用，且能否满足

其特定的环境和需要。

GB/T18336致力于保护资产免遭未授权的泄漏、修改或丧失可用性。此类保护与三种安全失效情况

相对应，分别是机密性、完整性和可用性。此外，GB/T18336也适用于这三种类别之外的其他IT安全属

性。GB/T18336可适用于人类活动产生的风险，无论是恶意或其他的，以及非人为因素导致的风险。另

外，GB/T18336还可应用于IT技术的其他领域，但对安全领域外的适用性不作申明。

某些主题因为涉及专业技术或对IT安全而言较为次要，因此不在GB/T18336讨论的范围之内，例如：

a)GB/T18336未包括那些与IT安全措施没有直接关联的属于行政性管理安全措施的安全评估准则。

然而，应该认识到某些重要的安全能力可通过诸如组织、人员、物理和程序控制等方面的行政性

管理措施来获得；

b)GB/T18336并不涉及应用该标准的评估方法；

注：GB/T30270定义了具体的评估方法，GB/T18336第4部分可用于进一步从GB/T30270派生评估活动和方法。

c)GB/T18336不涉及评估授权机构使用本标准的行政管理和法律框架，但希望GB/T18336可被用于

此框架下的IT产品的评估；

d)评估结果的认可程序不属于GB/T18336的范围。认可是行政程序，据此准许IT产品（或其集合）

在其整个运行环境（包括其全部非IT部分）中投入使用。评估过程的结果是认可过程的输入。但

是，由于其他技术更适合评估非IT相关属性及其与IT安全部分的关系，认可者必须针对这些情况

制定对应的条款；

e)GB/T18336不包括评价密码算法固有质量相关的条款。如果需要对嵌入TOE的密码算法的数学特

VI

GB/T18336.1-202X

性进行独立的评估，则必须在使用GB/T18336的评估体制中为相关评估制定专门条款。

注释：本文件在某些情况下使用粗体和斜体来区分术语和其余部分文本。族内组件之间的关系约定

使用粗体突出显示，对所有新的要求也约定使用粗体字。对于分层的组件，当要求被增强或修改，超出

了前一个组件的要求时，要求以粗体显示。此外，除了前面的组件之外，任何新的或增强的允许的操作

也会使用粗体突出显示。

约定使用斜体来表示具有精确含义的文本。对于安全保障要求，该约定也适用于与评估相关的特殊

动词。

VII

GB/T18336.1-202X

信息安全技术信息技术安全评估准则

第1部分：简介和一般模型

1范围

本文件建立了信息技术安全评估的一般概念和原则，并规定了GB/T18336各部分所给出的一般评估

模型，该模型整体上可作为评估IT产品安全属性的基础。

本文件给出了GB/T18336所有部分的总体概述。它描述了GB/T18336各个部分内容；定义了在GB/T

18336各部分将使用的术语及缩略语；建立了评估对象的核心概念；描述了评估背景和评估准则所针对

的受众对象。本文件还给出了信息技术产品评估所需的基本安全概念。

本文件介绍了：

—保护轮廓、PP-模块、PP-配置、包、安全目标和符合性类型等核心概念；

—整个模型中安全组件的组织化描述；

—定义了裁剪GB/T18336.2和GB/T18336.3描述的功能和保障组件时可用的各种操作；

—有关在GB/T30270中给出的评估方法的一般信息；

—GB/T18336.4应用指南，用以开发源自GB/T30270的评估方法和评估活动；

—有关在GB/T18336.5中预定义评估保障级别的一般信息；

—有关评估体制范围的信息。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T18336.2—202X信息安全技术信息技术安全评估准则第2部分：安全功能组件

GB/T18336.3—202X信息安全技术信息技术安全评估准则第3部分：安全保障组件

GB/T30270—202X信息技术网络安全和隐私保护信息技术安全评估准则信息技术安全性评估

方法

ISO/IECIEEE24765系统和软件工程-词汇(Systemsandsoftwareengineering—Vocabulary)

3术语和定义

GB/T18336.2、GB/T18336.3、GB/T30270、ISO/IECIEEE24765界定的以及下列术语和定义适用

于本文件。

3.1

安全保障要求securityassurancerequirement（SAR）

涉及评估对象（TOE）（3.54）的开发和交付的条件和过程的安全要求，以及评估者（3.61）对这

些条件和过程产生的证据所要求的行为（3.74）。

1

GB/T18336.1-202X

3.2

安全功能要求securityfunctionalrequirement（SFR）

在特定安全目标（ST）（3.3）或保护轮廓（PP）（3.8）中定义的、符合评估对象（TOE）（3.54）

安全问题定义(SPD)（3.6）的安全要求。

注：安全功能要求可以像直接基本基本原理模型那样直接处理，也可以像一般模型那样通过TOE的安全

目的（3.4）间接处理。

3.3

安全目标SecurityTarget（ST）

基于安全问题定义(3.6)，针对评估对象（TOE）（3.54）与实现相关的安全要求的陈述。

3.4

安全目的securityobjective

用于对抗（3.19）特定的威胁、和/或满足特定的组织安全策略和/或假设的一种陈述。

3.5

安全属性securityattribute

主体、用户、客体、信息、会话和/或资源的特征，它用于定义安全功能要求（SFR）（3.2），且

其值在执行SFR时使用。

注：用户可以包括外部IT产品。

3.6

安全问题/安全问题定义securityproblem/securityproblemdefinition（SPD）

以一种形式化的方式定义评估对象（TOE）（3.54）要处理的安全基本特征和范围的陈述。

注1：该陈述由以下部分组成：要由TOE和其运行环境所对抗的威胁；要由TOE和其运行环境（3.81）所实施的组织

安全策略（OSP）；支撑TOE和其运行环境的假设。

注2：安全问题定义元素包括威胁、组织安全策略和假设。

3.7

安全要求securityrequirement

在特定安全目标（ST）（3.3）或保护轮廓（PP）（3.8）中定义的一部分评估对象（TOE）（3.54）

安全规范要求。

注：要求以语言形式陈述，即GB/T18336系列标准中规定的结构和句法。

3.8

保护轮廓ProtectionProfile（PP）

针对一类评估对象（TOE）（3.54）的与实现无关的安全需求陈述。

3.9

保障assurance

评估对象（3.54）满足安全功能要求（3.2）的信任基础。

2

GB/T18336.1-202X

3.10

保障包assurancepackage

安全保障要求（3.1）的命名集合。

示例“评估保障级3”。

3.11

部件component

<组合>在产品中提供资源和服务的实体（3.67）。

3.12

部件TOEcomponentTOE

(评估)作为另一个组合TOE（3.91）的一个部件的评估对象（TOE）（3.54）。

3.13

残余脆弱性residualvulnerability

在评估对象（TOE）（3.54）运行环境（3.81）中不能被利用的弱点，但是可被TOE运行环境中，具

有更大攻击潜力（3.29）的攻击者所利用，用于违犯安全功能要求（SFR）（3.2）。

3.14

操作operation

<对客体>主体对客体执行的特定类型的行为（3.74）。

3.15

脆弱性vulnerability

可以在某些环境中用于违犯安全功能要求（SFR）的TOE弱点。

3.16

单一保障评估single-assuranceevaluation

使用一组保障要求对TOE进行评估。

3.17

敌对行为adverseaction

由威胁主体（3.72）对资产（3.84）执行的行为（3.74）。

3.18

定制tailoring

在功能包中添加一个或多个功能要求，和/或在功能包中的安全功能要求（SFR）中添加一个或多个

选择。

注1：这种定制仅在一个包的上下文中进行考虑，而不用考虑其他包、保护轮廓（PP）或PP-模块的上下文。

注2：安全功能要求（SFR）中的选择可以被其他选择所替代。

注3：只能为保护轮廓（PP）或PP-模块所声明的包添加选择。安全目标不能要求定制的包名与包具有符合性。

3

GB/T18336.1-202X

3.19

对抗counter

对特定威胁采取行为或作出反应，以消除或减轻威胁。

3.20

多重保障评估multi-assuranceevaluation

使用PP-配置对评估对象（TOE）（3.54）进行评估，PP-配置中每个PP-配置部件都与其自身的一组

保障要求相关联。

注：至少应有一个PP-配置部件包含与其他部件不同的一组保障要求。

3.21

反复iteration

使用同一组件表达两个或多个不同的要求。

3.22

分层layering

一种设计技术，将各组部件分层组织，使其职责分离，以便一组部件仅依赖于其下层的服务，且仅

向其上层部件组提供服务。

3.23

复合TOEcompositetargetofevaluation（compositeTOE）

包括基础TOE（3.34）和依赖部件（3.77）的复合产品的一部分。

注1：复合TOE中的一个依赖部件可以由一个或多个依赖部件组成。为简明起见，它们都被视为是“同一个依赖部件”。

注2：复合TOE可包含分别独立于基础部件（3.33）或基础TOE的部件。为简明起见，认为此类部件属于依赖部件。

注3：复合评估（3.25）可根据要求以增量方法多次的应用于多部件/多层次产品。

3.24

复合产品compositeproduct

由两个或多个部件组成的产品，这些部件可以分为两层：一层为已评估的基础部件（基础TOE）（3.34），

另一层为依赖部件（3.77）。

3.25

复合评估compositeevaluation

使用特定的组合评估技术对复合TOE/产品进行的评估。

注：此评估技术指的是GB/T18336.3中为ADV、ALC、ASE、ATE和AVA类指定的COMP相关保障族。

3.26

复合评估技术报告evaluationtechnicalreportforcompositeevaluation（ETR_COMP）

旨在复合评估(3.25)方法中使用并由基础部件(3.33)评估者(3.61)从评估基础部件的完整评估技

术报告(3.56)中导出来的文档。

注1：复合评估技术报告属于基础部件及其评估，用于在采用复合评估方法时对具有该基础部件的复合产品进行评

估。

注2：建立与基础部件相关的复合评估报告是为了提供足够的信息，并用于集成已评估的基础部件的复合产品的复

4

GB/T18336.1-202X

合评估。这样做可以使复合产品评估者(3.61)和各复合产品评估授权机构(3.59)能够了解针对基本部件而考

虑和执行的攻击路径和测试，以及基本部件实现的对策的有效性。

3.27

赋值assignment

对功能或保障组件中指定参数的规定。

3.28

攻击面attacksurface

意旨攻击目标的一组逻辑或物理接口，由一些可以尝试访问目标及其功能的点组成。

示例1：支付终端的外壳是该设备物理攻击面的一部分。

示例2：用于连接到网络设备的通信协议是该网络设备的逻辑攻击面的一部分。

3.29

攻击潜力attackpotential

在评估对象TOE（3.54）中利用脆弱性所需耗费努力的度量。

注：这种度量是通过所耗费攻击者相关的属性(例如：专业知识、资源和动机)和与脆弱性本身相关的属性(例如:机

会窗口、暴露时间)所构建的函数来表达的。

3.30

功能包functionalpackage

由安全问题定义（SPD）（3.6）和源自该SPD的安全目的（3.4）所导出的安全功能要求集合的命名。

3.31

管理员administrator

对由TOE安全功能（TSF）（3.70）实施的所有策略具有一定程度可信的实体（3.67）。

注：并非所有的保护轮廓（PP）（3.8）或安全目标（ST）（3.3）都对管理员设定相同的可信级别。通常假设管理

员始终遵守ST中描述的TOE（3.54）策略.其中,有些策略可能与TOE的功能相关，另一些策略可能与其运行环境

（3.81）有关。

3.32

基础保护轮廓baseProtectionProfile

PP-模块中指定的保护轮廓（PP）（3.8），作为该PP-模块的基础PP模块的一部分，用于构建PP-

配置的基础。

3.33

基础部件basecomponent

多部件产品中向一个或多个依赖部件（3.77）提供服务和资源的独立实体（3.67）。

注：这尤其适用于“组合TOE”（3.91）和“复合产品/复合TOE”（3.23）。

3.34

基础评估对象baseTOE

本身就是作为评估主体的基础部件(3.33)。

5

GB/T18336.1-202X

注：这尤其适用于“组合TOE”（3.91）和“复合产品/复合TOE”（3.23）。

3.35

基础PP-模块basePP-Module

在不同的PP-模块中指定的PP-模块，作为该PP-模块的基础PP-模块的一部分，用于构建PP-配置的

基础。

注：在PP-模块中指定的基础PP-模块隐含的包括基础PP-模块的基础PP-模块。

3.36

基础PP-模块ProtectionProfileModuleBase

PP-模块（3.62）或PP或两者的集合，规定的作为构建PP-配置（3.63）的基础PP模块。

注：基础PP-模块的概念是反复的，因为一个PP-模块的基础可包含另一个拥有自己基础的PP-模块，这个基础也包

含有一个PP-模块。然而，这个“链”以仅将PP作为其基础的PP-模块而终结。

3.37

精确符合性exactconformance（EC）

保护轮廓（PP）(3.8)或PP-配置与安全目标（ST）(3.3)之间的层次关系，其中ST中的所有要求仅

是从PP/PP-配置中提取的。

注：ST中允许声明精确符合一个或多个PP，但只能符合一个PP配置。

3.38

基于选择的安全功能要求selection-basedsecurityfunctionalrequirement

PP、PP-模块或功能包(3.30)中的安全功能要求（SFR）（3.2），该SFR将有助于PP、PP-模块或功

能包的安全问题定义（3.6）的陈述。如果在PP/PP-模块/功能包中确定的选择表明它有一个相关的基于

选择的SFR，则安全问题定义将被包含在符合的PP或ST中。

3.39

解释interpretation

对标准或评估体制要求的澄清或阐述。

3.40

角色role

为了规定在一个用户和该TOE之间，允许交互行为而建立的预定义规则集。

3.41

开发者developer

负责研发评估对象(3.54)的组织。

3.42

可利用的脆弱性exploitablevulnerability

可在TOE运行环境(3.81)中用来违反安全功能要求（SFR）(3.2)的评估对象(TOE)（3.54）的弱点。

6

GB/T18336.1-202X

3.43

可论证的符合性demonstrableconformance（DC）

保护轮廓（3.8）/安全目标（3.3）（PP/ST）和PP或者ST和PP-配置之间的关系，其中PP/ST提供了

相等的或更为严格的方案以解决PP/PP-配置中通用的安全问题。

3.44

客体object

评估对象（TOE）（3.54）中的实体（3.67），包含或接收信息，并由主体对其执行操作。

3.45

可选安全功能要求optionalSecurityFunctionalRequirement（optionalSFR）

来自于保护轮廓（3.8）、功能包（3.30）或PP-模块中的安全功能要求（SFR）（3.2），有助于保

护轮廓（PP）中的安全问题描述的陈述，但并不强制将其包含在符合PP或安全目标（ST）（3.3）的SFR

列表中。

注：可选SFR可对应PP、功能包或PP-模块主体中所述的适当的安全问题定义（SPD）（3.6）元素威胁和/或组织安

全策略（OSP），或作为可选的安全问题定义（SPD）元素/目的(这里仅由可选SFR进行对应)的参考。

3.46

扩展安全要求extendedsecurityrequirement

根据本文件中的规则制定的安全要求，但这些要求未列在GB/T18336的任何部分中。

注1：扩展安全要求保留了GB/T18336.2描述的形式和语法。

注2：扩展安全要求可以由安全目标（ST）(3.3)或保护轮廓（PP）(3.8)或PP-模块的撰写者定义。

3.47

类class

〈分类〉具有共同关注的族的集合。

3.48

模块module

在适合该单元实现的层级上，特定的体系结构单元。

注：GB/T18336.3中的ADV_TDS和ADV_INT族描述了将评估对象（TOE）（3.54）划分为模块的相关属性。

3.49

内在一致的internallyconsistent

一个实体（3.67）的各个方面之间不存在明显的矛盾。

注：对文档来说，是指文档内部没有发生相互矛盾的陈述。

3.50

配置管理configurationmanagement（CM）

应用技术、行政指导及监管要求的如下行为准则：识别和记录配置项的功能和物理特性，控制对这

些特性的变更，记录和报告变更处理和执行状态，并验证是否符合规定的要求。

[来源：ISO/IECIEEE24765:2017,3.7791]

7

GB/T18336.1-202X

3.51

配置管理系统configurationmanagementsystem

开发者（3.41）在产品的生命周期中开发和维护其配置所使用的一组程序和工具（包括其文档）。

注：配置管理系统可能具有不同的严格程度和功能性。高级别的配置管理系统可以提供自动化的缺陷修复、变更控

制和其他跟踪实现的机制。

3.52

评估evaluation

依据定义的标准，对PP-配置（3.63）、保护轮廓（PP）（3.8）、安全目标（ST）（3.3）或评估

对象TOE（3.54）进行的评价。

3.53

评估保障级evaluationassurancelevel（EAL）

结构良好的安全保障要求（3.1）包，代表预定义的保障尺度的一个点。

3.54

评估对象targetofevaluation（TOE）

软件、固件和/或硬件的集合，可能附带指南，这是评估的主体。

3.55

评估对象类型TOEtype

一组评估对象（TOE）的共同特征集。

注：TOE类型可在保护轮廓（PP）中更明确地定义。

3.56

评估方法evaluationmethod（EM）

在特定环境中应用的一组或多项评估活动（3.55）。

3.57

评估活动evaluationactivity（EA）

源自一个或多个工作单元的活动。

注1：在GB/T30270中定义的工作单元。

注2：GB/T18336.4中定义的派生机制。

3.58

评估技术报告evaluationtechnicalreport（ETR）

由评估者(3.61)撰写并提交给评估授权机构(3.59)、以文档形式记录总体裁定(3.94)及其理由的文

档。

3.59

评估授权机构evaluationauthority

执行评估体制(3.58)的机构。

注：通过评估体制的应用，评估授权机构制定标准，并监督特定体制下评估机构执行评估的质量。

8

GB/T18336.1-202X

3.60

评估体制evaluationscheme

进行信息技术产品安全评估的规则、程序和管理框架。

注：评估体制实现了GB/T18336的所有部分。

3.61

评估者evaluator

根据给定的评估标准和相关的评估方法进行评估的人员。

注：评估标准的一个例子是GB/T18336，包括给出其的相关评估方法的GB/T30270。

[来源：ISO/IEC19896-1:2018,3.5]

3.62

PP-模块ProtectionProfilemodule（PP-Module）

针对某一评估对象（TOE）类型，与实现无关的安全需求的陈述，为一个或多个基础保护轮廓(3.32)

和可能的一些基础PP-模块提供补充。

3.63

PP-配置ProtectionProfileConfiguration（PP-Configuration）

针对某一评估对象（TOE）类型，与实现无关的安全需求的陈述，至少包含一个保护轮廓（PP）（3.8）

和一个附加的PP和PP-模块(与相关的基础PP-模块）的非空集合。

3.64

PP-配置部件ProtectionProfileConfigurationcomponent

PP-配置（3.63）中包含的PP或PP-模块（3.62）。

3.65

潜在脆弱性potentialvulnerability

可疑的，但尚未确认的弱点。

注：怀疑的过程是借助于一个假设的违反安全功能要求（SFR）（3.2）的攻击路径来进行的。

3.66

全局保障包globalassurancepackage

在多重保障评估（3.20）中应用于整个评估对象（TOE）（3.54）的保障包（3.10）。

注：全局保障包可包含扩展保障组件。

3.67

实体entity

由一组或一组属性描述的可标识项。

注：实体包括主体、用户（包括外部IT产品）、客体、信息、会话和/或资源。

9

GB/T18336.1-202X

3.68

实现表示implementationrepresentation

TOE安全功能（TSF）（3.70）的最低抽象表示，即无需进一步设计细化（3.73），使用其就可创建

TSF。

注：用来编译的源代码，或者用于生成实际硬件的硬件版图，这些都是实现表示的例子。

3.69

授权用户authorizeduser

根据安全功能要求（3.2）可在评估对象(TOE)（3.54）上执行某项操作的实体（3.67）。

3.70

TOE安全功能TOEsecurityfunctionality（TSF）

正确执行安全功能要求（SFR）所依赖的TOE的所有硬件、软件和固件的组合功能。

3.71

外部实体externalentity（user）

从TOE边界之外，与评估目标（TOE）交互的人、技术系统或其部件。

3.72

威胁主体threatagent

对评估对象（TOE）保护的资产（3.84）施加不利行为（3.74）的实体（3.67）。

3.73

细化refinement

为安全组件添加细节。

3.74

行为action

评估者（3.61）或开发者（3.41）的记录活动。

注：GB/T18336.3中要求的评估者行为和开发者行为。

3.75

选择selection

从组件内列表中指定一项或多项。

3.76

严格符合性strictconformance（SC）

一个PP和一个PP/ST之间的一种层次关系，其中该PP中的所有要求也存在于该PP/ST中。

注：这种关系可以粗略地定义为“ST应包含PP中所有的陈述，但也可以包含更多的内容”。严格符合性

预期用于描述那些需要以单一方式遵守的严格要求。

3.77

依赖部件dependentcomponent

10

GB/T18336.1-202X

多部件产品中的依赖实体(3.67)，该产品依赖于一个或多个基础部件(3.33)提供的服务和资源。

注：这尤其适用于“组合TOE”（3.21）和“组合产品/组合TOE”(3.91)。

3.78

依赖关系dependency

组件之间的一种关系，如果一个基于依赖组件的要求包含在保护轮廓PP（3.8）、ST、功能包或保

障包中，那么一个基于被依赖组件的要求一般也应包含在PP、ST、功能包或保障包中。

3.79

依赖TOEdependenttargetofevaluation（TOE）

本身就是作为评估主体的依赖部件(3.77)。

注：这仅适用于“组成的TOE”(3.21)，不适用于“复合产品/复合TOE”(3.23)。

3.80

元素element

〈分类〉安全需求的独立描述分为安全保障要求（SAR）(3.1)或安全功能要求（SFR）(3.2)。

3.81

运行环境operationalenvironment

评估对象（TOE）（3.54）被执行操作的环境，包括TOE边界外的所有组成。

3.82

增强augmentation

向包中增加一个或多个要求。

注1：以功能包（3.30）为例，这种增强仅在该包的上下文中考虑，而不会在其他包、保护轮廓（PP）（3.8）或安

全目标（ST）（3.3）的上下文中考虑。

注2：以保障包（3.10）为例，增强指的是增加一个或多个安全保障要求（SAR）（3.1）。

3.83

主体subject

TOE(3.54)中对客体执行操作的实体(3.67)。

3.84

资产asset

评估对象（3.54）所有者赋予了价值的实体（3.67）。

3.85

子评估对象安全功能（子TSF）sub-TOEsecurityfunctionality(sub-TSF)

在PP-配置组件中定义的一个依赖于评估对象（TOE）的所有硬件、软件和固件的安全功能要求（SFR）

正确执行的组合功能。

注1：这个安全功能要求集合包括PP-配置组件中的依赖项、目的和安全问题定义元素。

注2：子TSF的概念适用于PP-配置和符合安全目标(ST)的规范和评估。它可以在单一保障方法中使用，但在多重保

障方法中则必须使用:子TSF必须在多重保障PP-配置和符合多重保障安全目标（ST）中定义。

11

GB/T18336.1-202X

注3：在多重保障PP-配置/ST中，每个子TSF都有与它自己相关联的安全保障要求（SAR）集合。在本文档的其余部

分中，SAR集合可以是一个保障包。

注4：子TSF具有TSF的特性。

3.86

指导性文档guidancedocumentation

描述交付、准备、运行、管理和/或使用TOE（3.54）的文档。

3.87

直接基本原理directrationale

在保护轮廓(3.8)、PP-模块或安全目标(3.3)中的安全问题定义（SPD）(3.6)元素直接映射到安全

功能要求（SFR）(3.2)，可能还映射到运行环境(3.81)安全目的(3.4)。

注：直接基本原理不包括评估对象（TOE）(3.54)的安全目的。

3.88

转化translation

用标准化语言描述安全要求的过程。

注：在这种情况下，术语“转化”表示的不是字面意思，使用该术语也不意味着每个用标准化语言描述的SFR都能

够追溯到安全目的。

3.89

总体裁定overallverdict

评估者（3.61）发布的关于评估结果的声明。

注：声明可以用“通过”或“失败”来表示。

3.90

族family

〈分类〉具有相似目标，但在侧重点或严格程度上不同的组件的集合。

3.91

组合TOEcomposedTOE

由两个或多个具有单独标识且它们间具有安全关系的组件组成的TOE。

3.92

组合保障包composedassurancepackage（CAP）

由主要来自ACO类（3.47）的组件组成的保障包（3.10），代表了预先定义的某一组合保障尺度上

的一个点。

3.93

组合评估composedevaluation

使用适合于组合TOE的特定评估技术对组合TOE进行的评估。

注：此特定评估技术指的是GB/T18336.3中定义的ACO保障类。

12

GB/T18336.1-202X

3.94

组件component

〈分类〉满足安全要求的最小可选元素的集合。

3.95

组织安全策略organizationalsecuritypolicy（OSP）

一个组织的安全规则、程序或指南的集合。

注：一个策略可能与一个具体的运行环境（3.81）相关。

4缩略语

下列缩略语适用于本文件。

AP：保障包（AssurancePackage）

API