信息安全技术 信息技术安全评估准则 第5部分：预定义的安全要求包

ICS35.030

CCSL80

中华人民共和国国家标准

GB/T18336.5—202X

代替GB/T18336.3-2015

`

信息安全技术信息技术安全评估准则

第5部分：预定义的安全要求包

Informationsecuritytechnology—EvaluationcriteriaforITsecurity—

Part5:Pre-definedpackagesofsecurityrequirements

(ISO/IEC15408-5:2022,Informationsecurity,cybersecurityand

privacyprotection—EvaluationcriteriaforITsecurity—

Part5:Pre-definedpackagesofsecurityrequirements,IDT)

（征求意见稿）

（本草案完成时间：2022年9月）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

GB/T18336.5—202X

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》和GB/T

1.2—2020《标准化工作导则第2部分：以ISO/IEC标准化文件为基础的标准化文件起草规则》的规定起

草。

本文件是GB/T18336—202X《信息安全技术信息技术安全评估准则》的第5部分。GB/T

18336—202X由以下五部分组成：

——第1部分：简介和一般模型

——第2部分：安全功能组件

——第3部分：安全保障组件

——第4部分：评估方法和活动的规范框架

——第5部分：预定义的安全要求包

本文件和GB/T18336.3—202X、GB/T18336.4—202X共同代替GB/T18336.3—2015《信息技

术安全技术信息技术安全评估准则第3部分：安全保障组件》。

本文件与GB/T18336.3—2015的主要差异如下：

——增加复合产品包（COMP）、保护轮廓保障（PPA）和安全目标保障（STA）；

——包含原标准中的评估保障级（条款7）、组合保障包（条款8）等内容。

本文件等同采用国际标准ISO/IEC15408-5:2022《信息安全网络安全和隐私保护信息技术

安全评估准则第5部分：预定义的安全要求包》。

本文件做了下列最小限度的编辑性改动：

——为与现有标准协调，将标准名称改为《信息安全技术信息技术安全评估准则第5部分：

预定义的安全要求包》。

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。

本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本文件起草单位：中国信息安全测评中心、维沃移动通信有限公司、工业信息安全（四川）创新中

心有限公司、北京神州绿盟科技有限公司、国民技术有限公司、广东美的制冷设备有限公司、广东省农

村信用社联合社、联想（北京）有限公司

本文件主要起草人：张宝峰、许源、杨永生、李凤娟、石竑松、高金萍、徐曼、刘尚麟、程潞样、

刘娟、戚进业、姚俊先、李汝鑫

本文件所代替标准的历次版本发布情况：

——GB/T18336.3-2001

——GB/T18336.3-2008

——GB/T18336.3-2015

II

GB/T18336.5—202X

引言

本文件提供了预定义的安全要求包。安全要求包有助于标准使用者在评估时保持一致，也有助于减

少开发保护轮廓(PP)和安全目标(ST)的工作量。

GB/T18336.1-202X定义了术语“包”并描述了基本概念。

注：本文件在某些情况下使用粗体字和斜体字来区分术语与文本的其余部分。

族内组件之间的关系约定使用粗体突出显示，对所有新的要求也约定使用粗体字。对于分层的组件，当它们被

增强或修改超出前面组件的要求时，会以粗体显示。此外，除先前组件之外的任何新的或增强的允许操作也使

用粗体突出显示。

约定使用斜体来表示具有精确含义的文本。对于安全保障要求，该约定也适用于与评估相关的特殊动词。

III

GB/T18336.5—202X

信息安全技术信息技术安全评估准则

第5部分：预定义的安全要求包

1范围

本文件给标准使用者提供了通用的安全保障包和安全功能要求包。

示例：提供了评估保障级（EAL）和组合保障包（CAP）。

本文件描述了：

——评估保障级（EAL），明确规定了可在PP和ST中引用的预先定义的一系列安全保障组件

包，这些组件也用于为TOE评估提供适当的安全保障。

——组合保障包（CAP），明确规定了组合TOE评估所需的一系列安全保障组件包。

——复合产品包（COMP），明确规定了复合产品TOE评估所需的一系列安全保障组件包。

——保护轮廓保障（PPA），明确规定了保护轮廓评估所需的一系列安全保障组件包。

——安全目标保障（STA），明确规定了安全目标评估所需的一系列安全保障组件包。

本文件的读者包括安全信息技术产品的消费者、开发者和评估者。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T18336.1—202X信息安全技术信息技术安全评估准则第1部分：简介和一般模型

GB/T18336.3—202X信息安全技术信息技术安全评估准则第3部分：安全保障组件

3术语和定义

GB/T18336.1—202X、GB/T18336.3—202X界定的术语和定义适用于本文件。

出于标准化的需求，ISO和IEC在以下网址建立了术语库：

ISO在线浏览平台：详见/obp/。

IEC电子百科：详见/。

4评估保障级

族名

本族的名称为评估保障级（EAL）。

评估保障级概述

4.2.1概述

1

GB/T18336.5—202X

评估保障级（EAL）提供了一种递增的尺度，以保障程度的获取开销和可行性来权衡保障级别。GB/T

18336.1中的方法在TOE评估结束时确定了保障的独立概念，以及在TOE操作使用时维护该保障的概念。

注：并非所有GB/T18336.3中的族和组件都包含在EAL中。这并不是说这些族和组件不提供有意义的和所需要的保

障。相反，期望能把这些族和组件作为PP和ST中EAL的增强。另外，GB/T18336.3中的一些类和EAL无关，如APE

和ACO类。

每个EAL由一系列保障组件组成。

可以通过以下方式获得比给定的EAL更高的保障级别：

a）增加来自其他保障族的额外的保障组件；或

b）替换某个保障组件为相同保障族更高级别的保障组件。

4.2.2保障和保障级之间的关系

图1表明了GB/T18336.3中的安全保障要求（SAR）和本文件定义的评估保障级之间的关系。当保障

组件进一步分解为保障元素时，保障元素不能被保障级单独引用。

注：图1中的箭头表示EAL与保障类组件的引用关系。

GB/T18336.3保障要求GB/T18336.5评估保障级

保障类评估保障级

保障类评估保障级

保障类类名EAL评估保障级名称

类介绍目的

应用注释

保障族

保障族

保障族族名保障组件

组件标识保障组件

目的保障组件

目的

组件分级

应用注释

应用注释

依赖关系

保障组件

保障元素组件元素

组件元素

保障组件保障组件组件标识

目的

应用注释

依赖关系

保障元素

保障元素保障元素

图1保障和保障级的关系

2

GB/T18336.5—202X

表1概括地体现了EAL。其中列表示一组按级别排序的EAL，行表示保障族。表格矩阵中的每一个数

字标识出了此处适宜的具体保障组件。

表中涂灰的项目代表不适用该EAL，但可以作为该EAL包的增强。

注：虽然ALC_FLR族和ALC_TDA族未在表1中显示，但它们通常用作EAL的增强。

表1评估保障级汇总

评估保障级依据的保障组件

保障类保障族

EAL1EAL2EAL3EAL4EAL5EAL6EAL7

ADV_ARC安全架构111111

ADV_FSP功能规范1234556

ADV_IMP实现表示1122

开发

ADV_INTTSF内部233

ADV_SPM安全策略模型11

ADV_TDSTOE设计123456

AGD_OPE操作用户指南1111111

指导性文档

AGD_PRE准备程序1111111

ALC_CMCCM能力1234455

ALC_CMSCM范围1234555

ALC_DEL交付111111

生命周期支持

ALC_DVS开发者环境安全11122

ALC_LCD开发生命周期定义11112

ALC_TAT工具和技术1233

ASE_CCL符合性声明1111111

ASE_ECD扩展组件定义1111111

ASE_INTST引言1111111

ST评估ASE_OBJ安全目的1222222

ASE_REQ安全要求1222222

ASE_SPD安全问题定义111111

ASE_TSSTOE概要规范1111111

ATE_COV覆盖122233

ATE_DPT深度11334

测试

ATE_FUN功能测试111122

ATE_IND独立测试1222223

脆弱性评估AVA_VAN脆弱性分析1223455

评估保障级的目的

如4.4所述，本文件定义了七个级别的评估保障等级，用于对TOE的保障进行分级。它们按级别排序，

每一个EAL比其较低级别的EAL体现了更多的保障。相对较高级别EAL保障的增强，是通过替换相同保障

族中更高级别的保障组件（即增加严格性、范围和/或深度）来实现的，以及增加其他保障族中的保障

组件（即加入新的要求）来实现的。

3

GB/T18336.5—202X

这些EAL由GB/T18336.3-202X所描述的保障组件以适当的组合构成。更确切地说，每个EAL可包含

每个保障族中的最多一个组件，并满足每个组件的所有保障依赖关系。

“增强”的概念是允许向一个EAL增加保障组件（来自尚未包含在EAL中的保障族）或替换保障组件

（相同保障族中其他更高级别的保障组件）。在GB/T18336.1定义的保障结构中，只有EAL可以增强。

GB/T18336.1不认为“EAL减去一个组成保障组件”这样的想法是一个有效的主张。“增强”者有义务

论证对EAL增加保障组件的实际意义和额外价值。一个EAL也可以用扩展的保障要求来增强。

注：在声称完全符合PP的ST中的EAL是不能被增强的。

评估保障级别

4.4.1概述

本小节提供了EAL的定义，用粗体字强调了各级特定要求之间的区别和这些要求的一般特征。

4.4.2评估保障级1(EAL1)—功能测试

包名

本包的名称为评估保障级1（EAL1）-功能测试。

包类型

本包为保障包。

包概述

EAL1适用于需要对TOE正确运行有一定信心，但安全威胁又并不严重的情况。对于需要进行独立的

保障来支持个人信息或类似信息已经得到应有保护的情况，EAL1具有一定的价值。

EAL1仅要求一个简化的ST。该ST只要简单地说明TOE所需的安全功能要求，而不用通过从假设、威

胁和组织安全策略，进而从安全目的来推导安全功能要求。

EAL1提供了一个对客户可用的TOE的评估，包括依据规范的独立测试和对所提供的指导性文档的检

查。其目的是，无需TOE开发者的帮助，即可成功进行EAL1评估，而且支出最少。

在这个级别上的评估提供了TOE功能与其文档一致的证据。

包目的

EAL1通过简化的ST提供了基本级别的保障，并使用功能和接口规范以及指导性文档来分析该ST中

的SFR，以理解安全行为。

通过搜索公开领域的潜在脆弱性和对TOE安全功能的独立测试（功能测试和穿透性测试）来支持该

分析。

EAL1还通过TOE和相关评估文档的唯一标识来提供保障。

与未经评估的IT产品相比，EAL1在保障方面提供了有意义的增强。

保障组件

表2给出了EAL1包括的保障组件。

表2评估保障级1

保障类保障组件

ADV：开发ADV_FSP.1基本功能规范

4

GB/T18336.5—202X

保障类保障组件

AGD_OPE.1操作用户指南

AGD：指导性文档

AGD_PRE.1准备程序

ALC_CMC.1TOE标识

ALC：生命周期支持

ALC_CMS.1TOECM覆盖

ASE_CCL.1符合性声明

ASE_ECD.1扩展组件定义

ASE_INT.1ST引言

ASE：ST评估

ASE_OBJ.1运行环境安全目的

ASE_REQ.1直接基本原理安全要求

ASE_TSS.1TOE概要规范

ATE：测试ATE_IND.1独立测试—符合性

AVA：脆弱性评定AVA_VAN.1脆弱性调查

4.4.3评估保障级2(EAL2)—结构测试

包名

本包的名称为评估保障级2（EAL2）-结构测试。

包类型

本包为保障包。

包概述

EAL2需要开发者在交付设计信息和测试结果方面提供配合，但不应要求开发者付出超出良好商业

惯例的努力。这样，就不需要增加过多的成本或时间投入。

EAL2适用于以下情况：在缺乏现成可用的完整开发记录时，开发者或用户需要低到中等级别的独立

安全保障。这种情况可能出现在对遗留系统进行安全保护、或者不易联系到开发者的时候。

包目的

EAL2在利用功能和接口规范、指导性文档和TOE结构的基本描述的基础上，通过分析一个完整的ST

中的安全功能要求来提供保障，以理解安全行为。

这种分析由对TSF的独立测试、开发者基于功能规范进行测试的证据、对开发者测试结果的选择性

独立确认、证实可抵御具有基本攻击潜力攻击者攻击的脆弱性分析（基于功能规范、TOE设计、安全架

构描述和提供的指导性证据）等证据来支持SFR。

EAL2还通过使用配置管理系统和安全交付程序证据来提供保障。

与EAL1相比，EAL2通过要求进行开发者测试、脆弱性分析（除了公开领域的搜索外）和基于更详细

的TOE规范进行独立测试等内容，体现了对保障的有意义增强。

保障组件

表3给出了EAL2包括的保障组件。

表3评估保障级2

5

GB/T18336.5—202X

保障类保障组件

ADV_ARC.1安全架构描述

ADV：开发ADV_FSP.2安全执行功能规范

ADV_TDS.1基础设计

AGD_OPE.1操作用户指南

AGD：指导性文档

AGD_PRE.1准备程序

ALC_CMC.2CM系统的使用

ALC：生命周期支持ALC_CMS.2部分TOECM覆盖

ALC_DEL.1交付程序

ASE_CCL.1符合性声明

ASE_ECD.1扩展组件定义

ASE_INT.1ST引言

ASE：ST评估ASE_OBJ.2安全目的

ASE_REQ.2推导出的安全要求

ASE_SPD.1安全问题定义

ASE_TSS.1TOE概要规范

ATE_COV.1覆盖证据

ATE：测试ATE_FUN.1功能测试

ATE_IND.2独立测试—抽样

AVA：脆弱性评定AVA_VAN.2脆弱性分析

4.4.4评估保障级3(EAL3)—系统地测试和检查

包名

本包的名称为评估保障级3（EAL3）-系统地测试和检查。

包类型

本包为保障包。

包概述

EAL3可使尽责的开发者在设计阶段不需要对现有合理的开发实践作实质性变更，就能从正确的安

全工程中获得最大限度的保障。

EAL3适用于以下情况：开发者或用户需要中等级别的独立安全保障，同时要求在不进行大规模重建

的情况下，对TOE及其开发过程进行彻底调查。

包目的

EAL3通过完备的ST和对该ST中的SFR分析来提供保障，使用功能和接口规范、指导性文档和TOE设计

的架构描述，以理解安全行为。

通过对TSF的独立测试、开发者基于功能规范和TOE设计进行测试的证据、对开发者测试结果的选择

性独立确认、证实可抵御具有基本攻击潜力攻击者的脆弱性分析（基于功能规范、TOE设计、安全架构

描述和提供的指导性证据）等来支持SFR分析。

EAL3还通过使用开发环境控制、TOE配置管理和安全交付程序证据来提供保障。

6

GB/T18336.5—202X

与EAL2相比，EAL3通过要求对安全功能和机制和/或程序进行更完备的测试覆盖，以增加TOE在开发

过程中不会被篡改的一些信心，体现了对保障的有意义增强。

保障组件

表4给出了EAL3中包括的保障组件。

表4评估保障级3

保障类保障组件

ADV_ARC.1安全架构描述

ADV：开发ADV_FSP.3带完整摘要的功能规范

ADV_TDS.2结构化设计

AGD_OPE.1操作用户指南

AGD：指导性文档

AGD_PRE.1准备程序

ALC_CMC.3授权控制

ALC_CMS.3实现表示CM覆盖

ALC：生命周期支持ALC_DEL.1交付程序

ALC_DVS.1安全控制标识

ALC_LCD.1开发者定义的生命周期过程

ASE_CCL.1符合性声明

ASE_ECD.1扩展组件定义

ASE_INT.1ST引言

ASE：ST评估ASE_OBJ.2安全目的

ASE_REQ.2推导的安全要求

ASE_SPD.1安全问题定义

ASE_TSS.1TOE概要规范

ATE_COV.2覆盖分析

ATE_DPT.1测试：基本设计

ATE：测试

ATE_FUN.1功能测试

ATE_IND.2独立测试—抽样

AVA：脆弱性评定AVA_VAN.2脆弱性分析

4.4.5评估保障级4(EAL4)—系统地设计、测试和复查

包名

本包的名称为评估保障级4（EAL4）-系统地设计、测试和复查。

包类型

本包为保障包。

包概述

7

GB/T18336.5—202X

EAL4可使开发者基于良好的商业开发实践，从正确的安全工程中获得最大限度的保障，虽然这些开

发实践很严格，但并不需要大量的专业知识、技能和其他资源。EAL4是对现有产品线进行改造可能在经

济上可行的最高级别。

EAL4适用于以下情况：开发者或用户在传统商品化的TOE中需要一个中到高级别的独立安全保障，

并准备负担额外的安全专用的工程成本。

包目的

EAL4通过完备的ST和对该ST中的SFR分析来提供保障，使用功能和完备的接口规范、指导性文档、

TOE基本模块设计的描述和实现的子集，以理解安全行为。

通过对TSF的独立测试、开发者基于功能规范和TOE设计进行测试的证据、对开发者测试结果的选择

性独立确认、证实可抵御具有增强型基本攻击潜力攻击者的脆弱性分析（基于功能规范、TOE设计、实

现表示、结构性设计和提供的指导性证据）等来支持SFR分析。

EAL4还通过使用开发环境控制、包括自动化在内的额外的TOE配置管理和安全交付程序证据来提供

保障。

与EAL3相比，EAL4通过要求更多的设计描述、所有TSF的实现表示和改进机制和/或程序，以增加TOE

在开发过程中不会被篡改的信心，体现了对保障的有意义增强。

保障组件

表5给出了EAL4包括的保障组件。

表5评估保障级4

保障类保障组件

ADV_ARC.1安全架构描述

ADV_FSP.4完备的功能规范

ADV：开发

ADV_IMP.1TSF实现表示

ADV_TDS.3基础模块设计

AGD_OPE.1操作用户指南

AGD：指导性文档

AGD_PRE.1准备程序

ALC_CMC.4生产支持、接受程序和自动化

ALC_CMS.4问题跟踪CM覆盖

ALC_DEL.1交付程序

ALC：生命周期支持

ALC_DVS.1安全控制标识

ALC_LCD.1开发者定义的生命周期过程

ALC_TAT.1明确定义的开发工具

ASE_CCL.1符合性声明

ASE_ECD.1扩展组件定义

ASE_INT.1ST引言

ASE：ST评估ASE_OBJ.2安全目的

ASE_REQ.2推导出的安全要求

ASE_SPD.1安全问题定义

ASE_TSS.1TOE概要规范

ATE：测试ATE_COV.2覆盖分析

8

GB/T18336.5—202X

保障类保障组件

ATE_DPT.1测试：基本设计

ATE_FUN.1功能测试

ATE_IND.2独立测试—抽样

AVA：脆弱性评定AVA_VAN.3关注点脆弱性分析

4.4.6评估保障级5(EAL5)—半形式化设计和测试

包名

本包的名称为评估保障级5（EAL5）-半形式化设计和测试。

包类型

本包为保障包。

包概述

EAL5可使一个开发者从基于严格的商业开发实践的安全工程中获得最大限度的保障，而这些开发

实践是靠专业安全工程技术的适度应用来支持的。为实现EAL5的保障而有可能设计和开发了这样的TOE。

相对于没有应用专业技术的严格开发而言，由EAL5要求引起的额外的成本也许不会很大。

EAL5适用于以下情况：开发者或用户在一个有计划的开发过程中需要高级别的独立安全保障，以及

需要有严格的开发方法，以避免因专业安全工程技术而产生不合理的成本。

包目的

EAL5通过完备的ST和对该ST中的SFR分析来提供保障，使用功能和完备的接口规范、指导性文档、

TOE的设计描述和实现，以理解安全行为。此外还需要模块化的TSF设计。

通过对TSF的独立测试，开发者基于功能规范、TOE设计进行测试的证据，对开发者测试结果的选择

性独立确认，证实可抵御具有中等攻击潜力攻击者的独立的脆弱性分析等来支持SFR分析。

EAL5还通过使用开发环境控制、包括自动化在内的全面的TOE配置管理和安全交付程序证据来提供

保障。

与EAL4相比，EAL5通过要求半形式化的设计描述、可分析的更结构化的体系架构和改进机制和/或

程序，以增加TOE在开发过程中不会被篡改的信心，体现了对保障的有意义增强。

保障组件

表6给出了EAL5中包括的保障组件。

表6评估保障级5

保障类保障组件

ADV_ARC.1安全架构描述

ADV_FSP.5附加错误信息的完备的半形式化功能规范

ADV：开发ADV_IMP.1TSF实现表示

ADV_INT.2内部结构合理

ADV_TDS.4半形式化模块设计

AGD：指导性文档AGD_OPE.1操作用户指南

9

GB/T18336.5—202X

保障类保障组件

AGD_PRE.1准备程序

ALC_CMC.4生产支持、接受程序和自动化

ALC_CMS.5开发工具CM覆盖

ALC_DEL.1交付程序

ALC：生命周期支持

ALC_DVS.1安全措施标识

ALC_LCD.1开发者定义的生命周期过程

ALC_TAT.2遵从实现标准

ASE_CCL.1符合性声明

ASE_ECD.1扩展组件定义

ASE_INT.1ST引言

ASE：ST评估ASE_OBJ.2安全目的

ASE_REQ.2推导的安全要求

ASE_SPD.1安全问题定义

ASE_TSS.1TOE概要规范

ATE_COV.2覆盖分析

ATE_DPT.3测试：模块设计

ATE：测试

ATE_FUN.1功能测试

ATE_IND.2独立测试—抽样

AVA：脆弱性评定AVA_VAN.4系统的脆弱性分析

4.4.7评估保障级6(EAL6)—半形式化验证的设计和测试

包名

本包的名称为评估保障级6（EAL6）-半形式化验证的设计和测试。

包类型

本包为保障包。

包概述

EAL6可使开发者通过把安全工程技术应用于严格的开发环境情况下来获得高级别保障。目的是为

了生产一个质优价高的TOE来保护高价值的资产避免存在重大的风险。

EAL6适用于开发高风险环境下的安全TOE，受保护资产的价值表明额外成本是合理的。

包目的

EAL6通过完备的ST和对该ST中的SFR分析来提供保障，使用功能和完备的接口规范、指导性文档、

TOE设计和实现，以理解安全行为。通过所选TOE安全策略的形式化模型，功能规范和TOE设计的半形式

化描述，可进一步获得保障。此外还需要模块化、层次化和简单化的TSF设计。

通过对TSF的独立测试，开发者基于功能规范、TOE设计进行测试的证据，对开发者测试结果的选择

性独立确认，以及证实可抵御具有高等攻击潜力攻击者的独立的脆弱性分析等来支持SFR分析。

EAL6还通过使用结构化的开发过程、开发环境控制、包括完全自动化在内的全面的TOE配置管理和

安全交付程序证据等来提供保障。

10

GB/T18336.5—202X

与EAL5相比，EAL6通过要求更全面的分析、结构化的实现表示、更体系化的结构（如分层）、更全

面的独立脆弱性分析，以及改进的配置管理和开发环境控制，体现了对保障的有意义增强。

保障组件

表7给出了EAL6中包括的保障组件。

表7评估保障级6

保障类保障组件

ADV_ARC.1安全架构描述

ADV_FSP.5附加错误信息的完备的半形式化功能规范

ADV_IMP.2TSF实现表示的完全映射

ADV：开发

ADV_INT.3内部复杂度最小化

ADV_SPM.1形式化TOE安全策略模型

ADV_TDS.5完全半形式化模块设计

AGD_OPE.1操作用户指南

AGD：指导性文档

AGD_PRE.1准备程序

ALC_CMC.5高级支持

ALC_CMS.5开发工具CM覆盖

ALC_DEL.1交付程序

ALC：生命周期支持

ALC_DVS.2充分的安全控制

ALC_LCD.1开发者定义的生命周期过程

ALC_TAT.3遵从实现标准—所有部分

ASE_CCL.1符合性声明

ASE_ECD.1扩展组件定义

ASE_INT.1ST引言

ASE：ST评估ASE_OBJ.2安全目的

ASE_REQ.2推导的安全要求

ASE_SPD.1安全问题定义

ASE_TSS.1TOE概要规范

ATE_COV.3严格的覆盖分析

ATE_DPT.3测试：模块设计

ATE：测试

ATE_FUN.2顺序的功能测试

ATE_IND.2独立测试—抽样

AVA：脆弱性评定AVA_VAN.5高级的系统的脆弱性分析

4.4.8评估保障级7(EAL7)—形式化验证的设计和测试

包名

本包的名称为评估保障级7（EAL7）-形式化验证的设计和测试。

包类型

本包为保障包。

11

GB/T18336.5—202X

包概述

EAL7适用于开发安全TOE，以应用到极高风险环境和/或高资产价值的情况，可表明更高成本是合理

的。EAL7的实际应用目前仅限于一些非常关注安全功能性、易于进行详细地形式化分析的TOE。

包目的

EAL7通过完备的ST和对该ST中的SFR分析来提供保障，使用功能和完整的接口规范、指导性文档、

TOE设计和结构化的实现表示，以理解安全行为。通过所选TOE安全策略的形式化模型，功能规范和TOE

设计的半形式化描述，可进一步获得保障。此外还需要模块化、层次化和简单化的TSF设计。

通过对TSF的独立测试，开发者基于功能规范、TOE设计和实现表示进行测试的证据，对开发者测试

结果的完备的独立确认，以及证实可抵御具有高等攻击潜力攻击者的独立脆弱性分析等来支持SFR分析。

EAL7还通过使用结构化的开发过程、开发环境控制、包括完全自动化在内的全面的TOE配置管理和

安全交付程序证据等来提供保障。

与EAL6相比，EAL7通过要求使用形式化表示、形式化对应来进行更全面的分析，以及要求全面的测

试，体现了对保障的有意义增强。

保障组件

表8给出了EAL7中包括的保障组件。

表8评估保障级7

保障类保障组件

ADV_ARC.1安全架构描述

ADV_FSP.6附加形式化描述的完备的半形式化功能规范

ADV_IMP.2TSF实现表示的完全映射

ADV：开发

ADV_INT.3内部复杂度最小化

ADV_SPM.1形式化TOE安全策略模型

ADV_TDS.6带形式化高层设计表示的完全半形式化模块设计

AGD_OPE.1操作用户指南

AGD：指导性文档

AGD_PRE.1准备程序