《信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型》编制说明

一、任务来源

根据国家标准化管理委员会2012年下达的国家标准制修订计划，国家标准《信息

技术安全技术信息技术安全评估准则》由中国信息安全测评中心负责主办，标准计划

号为20120542-T-469（全国信息安全标准化技术委员会2012年信息安全专项）。

二、编制原则

1)保持与国际接轨，在跟踪分析和了解国际标准的发展情况下，积极采纳国际上

先进行的标准，吸收先进的思想。

2)提高可读性，在全面了解国际标准的精神基础上，充分汲取我们对GB/T

18336-2008版的认识，对专业技术概念进行本地化。

3)充分考虑可操作性，对安全要素的定义赋值等，充分考虑在评估和开发过程中

的可操作性。

4)CC3.1的R1、R2和R3版分别于2006年9月、2007年9月和2009年7月，

2012年9月CCDB又发布了CC3.1R4，而ISO/IEC15408:2009采纳的是CC3.1R3

版，鉴于GB/T18336是等同采用ISO的标准，为保持与国际标准同步，我们将

ISO/IEC15408:2009即CC3.1R3作为本次GB/T18336-201X的修订版。

三、主要工作过程

1）2012年10月成立了《信息技术安全技术信息技术安全评估准则》标准编写组。

2）2012年10月-2013年7月，参照ISO/IEC15408:2008对《信息技术安全技术

信息技术安全评估准则》进行修订，并在征求了北大教授王立福的意见后形成《信息技

术安全技术信息技术安全评估准则》草案（第一稿）。

3）2013年8月8日，参加安标委WG5工作组专家评审会，《信息技术安全技术信

息技术安全评估准则》草案通过了评审。出席评审会的专家包括王立福（组长）、曲成

义、赵战生、肖京华、顾健，以及WG7秘书许玉娜。会后，根据评会专家意见进行修改

（参见标准草案稿意见汇总处理表），形成并提交《信息技术安全技术信息技术安全

评估准则》草案（第二稿）。

4)2013年8月12日至2013年8月18日,信安标委WG5工作组组织各成员单位对

标准草案进行了投票，2013年8月26日至8月30日，根据投票意见对标准草案进行了

修订，形成征求意见稿。

四、标准的主要内容

GB/T18336《信息技术安全技术信息技术安全评估准则》（等同于

ISO/IEC15408）（通常也简称通用准则——CC）已于2001年3月正式颁布，并于2008

年发布了第二版。该标准是评估信息技术产品安全性的基础准则。ISO/IEC15408是国际

标准化组织统一现有多种评估准则努力的结果。其发展的主要阶段为：

1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标

准技术研究所）公布《信息技术安全性通用评估准则》（CC1.0版）；

1999年12月，ISO接受CC2.1为国际标准ISO/IEC15408：1999标准，并正式颁

布发行；

2005年10月，ISO通过CC2.3为国际标准ISO/IEC15408：2005标准，并正式颁

布发行；

2009年12月，ISO通过CC3.1为国际标准ISO/IEC15408：2009标准，并正式颁

布发行。

CC定义了作为评估信息技术产品安全性的基础准则，提出了目前国际上公认的表述

信息技术安全性的结构，即把安全要求分为规范产品安全行为的功能要求以及解决如何

正确有效的实施这些功能的保证要求。功能和保证要求又以“类——族——组件”的结

构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”

的构建，例如由保证组件构成典型的包——“评估保证级”。另外，功能组件还是连接

CC与传统安全机制和服务的桥梁，以及解决CC同已有准则如TCSEC、ITSEC的协调关系，

如功能组件构成TCSEC的各级要求。

CC特点体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备

性和实用性四个方面：

1.在结构的开放性方面，CC提出的安全功能要求和安全保证要求都可以在具体的

“保护轮廓”和“安全目标”中进一步细化和扩展，如可以增加“备份和恢复”

方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术和信

息安全技术的发展。

2.通用性的特点，即给出通用的表达方式。如果用户、开发者、评估者、认可者

等目标读者都使用CC的语言，互相之间就更容易理解沟通。如用户使用CC的

语言表述自己的安全需求，开发者就可以针对性地描述产品的安全性，评估者

也更容易有效客观地进行评估，并确保评估结果对用户而言更容易理解。这种

特点对规范实用方案的编写和安全性测试评估都具有重要意义。这种特点也是

在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际

互认的需要。

3.CC的这种结构和表达方式具有内在完备性和实用性的特点，具体体现在“保护

轮廓”和“安全目标”的编制上。“保护轮廓”主要用于表达一类产品的用户

需求，在标准化体系中可以作为安全技术类标准对待。其内容主要包括：对该

类产品的界定性描述，即确定需要保护的对象；确定安全环境，即指明安全问

题——需要保护的资产、已知的威胁、用户的组织安全策略；产品的安全目的，

即对安全问题的相应对策——技术性和非技术性措施；信息技术安全要求，包

7

括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一步

提出具体在技术上如何解决安全问题；基本原理，指明安全要求对安全目的、

安全目的对安全环境是充分且必要的；以及附加的补充说明信息。

4.“保护轮廓”编制，一方面解决了技术与真实客观需求之间的内在完备性；另

一方面用户通过分析所需要的产品面临的安全问题，明确所需的安全策略，进

而确定应采取的安全措施，包括技术和管理上的措施，这样就有助于提高安全

保护的针对性、有效性。“安全目标”在“保护轮廓”的基础上，通过将安全

要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当

成“安全目标”对待。通过“保护轮廓”和“安全目标”这两种结构，就便于

将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统

的集成、运行、评估、管理中。

ISO/IEC15408将使各个独立的安全评估其结果具有可比性。这通过在安全评估时，

提供一套针对信息技术（IT）产品安全功能及其保证措施的通用要求来实现。评估过程

建立一个信任级别，表明该产品的安全功能及其保证措施都满足这些要求。评估结果可

以帮助用户确定该IT产品对他们的预期应用而言是否足够安全及其使用带来的固有安

全风险是否可容忍。

第1部分：简介和一般模型，它定义了IT安全性评估的一般概念和原理，并提出

了评估的一般模型。

第2部分：安全功能要求，建立一系列功能组件，作为表述TOE功能要求的标准方

法。第2部分列出了一系列功能组件、族和类。

第3部分：安全保证要求，建立一系列保证组件，作为表述TOE保证要求的标准方

法。

与GB/T18336-2008的主要差异：

1）GB/T18336.1-201X与GB/T18336.1-2008的主要差异如下：

1、GB/T18336.1-201X增加了“2规范性引用文件”；

2、GB/T18336.1-201X“3术语和定义”中增加了“3.2与ADV类相关的术语和定

义”、“3.3与AGD类相关的术语和定义”、“3.4与ALC类相关的术语和定义”、

“3.5与AVA类相关的术语和定义”、“3.6与ACO类相关的术语和定义”；

3、GB/T18336.1-201X“5概述”中增加了“5.1TOE”；

4、GB/T18336.1-201X中将本标准适用的“IT产品和系统”改为“IT产品”；

5、GB/T18336.1-2008中的“5.1安全相关要素”、“5.2GB/T18336方法”调整

为本部分的“6.2资产和对策”、“6.3评估”；

6、删除了GB/T18336.1-2008的“5.3安全概念”；

7、GB/T18336.1-2008中的“5.4.1安全要求的表达”调整为本部分的“7剪裁安

全要求”；

8、删除了GB/T18336.1-2008的“5.4.2评估类型”；

9、GB/T18336.1-201X增加了“8保护轮廓和包”；

7

10、GB/T18336.1-2008中的“6GB/T18336要求和评估结果”调整为本部分的

“9评估结果”；

11、GB/T18336.1-2008中的“附录A保护轮廓规范”调整为本部分的“附录B

保护轮廓规范”，并增加了“B.11低保障的保护轮廓”、“B.12在PP中引用

其他标准”；

12、GB/T18336.1-2008中的“附录B安全目标规范”调整为本部分的“附录A

安全目标规范”，并增加了“A.3使用ST”、“A.11ST可解答的问题”、“A.12

低保障安全目标”、“A.13在ST中引用其他标准”；

13、GB/T18336.1-2008的参考文献调整为本部分的“附录E参考书目”。

2）GB/T18336.2-201X与GB/T18336.2-2008的主要差异如下：

1、GB/T18336.2-201X中将“保证”（assurance）改为“保障”；

2、GB/T18336.2-201X中将“输出到TSF控制之外（FDP_ETC）”改为“从TOE输

出（FDP_ETC）”；

3、GB/T18336.2-201X中将“从TSF控制之外输入（FDP_ITC）”改为“从TOE之

外输入（FDP_ITC）”；

4、删除了GB/T18336.2-2008“FPT类：TSF保护”中的“底层抽象机测试（FPT_AMT）”、

“引用仲裁（FPT_RVM）”、“域分离（FPT_SEP）”；

5、GB/T18336.2-201X“FPT类：TSF保护”中增加了“外部实体测试（FPT_TEE）”；

6、GB/T18336.2-201X中将“会话锁定（FTA_SSL）”改为“会话锁定和终止

（FTA_SSL）”；

7、GB/T18336.2-201X中将“门限值”改为“临界值”；

8、GB/T18336.2-201X中将“介导”改为“促成”。

3）GB/T18336.3-201X与GB/T18336.3-2008的主要差异如下：

1、GB/T18336.3-201X中将“保证”（assurance）改为“保障”；

2、GB/T18336.3-201X中将“6安全保证要求”改为“6安全保障组件”；

3、删除了GB/T18336.3-2008中的“6.3保护轮廓和安全目标评估准则类结构”、

“6.4本部分中术语的用法”、“6.5保证分类”、“6.6保证类和族概况”；

4、GB/T18336.3-2008中的“6.1.5EAL结构”调整为本部分的“6.2评估保障级

结构”；

5、GB/T18336.3-201X增加了“6.3组合保障包结构”；

6、删除了GB/T18336.3-2008中的“7保护轮廓与安全目标评估准则”、“11保

证类、族和组件”；

7、GB/T18336.3-201X增加了“8组合保障包”；

8、删除了GB/T18336.3-2008中的“8.1TOE描述”；

9、GB/T18336.3-201X增加了“9.2一致性声明”；

10、GB/T18336.3-2008中的“8.2安全环境”、“8.6明确陈述的IT安全要

求”改为本部分的“9.3安全问题定义”、“9.5扩展组件定义”；

7

11、删除了GB/T18336.3-2008中的“9.1TOE描述”、“9.5PP声明”；

12、GB/T18336.3-201X增加了“10.2一致性声明”；

13、GB/T18336.3-2008中的“9.2安全环境”、“9.7明确陈述的IT安全要

求”改为本部分的“10.3安全问题定义”、“10.5扩展组件定义”；

14、删除了GB/T18336.3-2008“ADV类：开发”中的“高层设计（ADV_HLD）”、

“低层设计(ADV_LLD)”、“表示对应性(ADV_RCR)”；

15、GB/T18336.3-201X“ADV类：开发”中增加了“安全架构（ADV_ARC）”、

“TOE设计（ADV_TDS）”；

16、GB/T18336.3-2008中AGD类的“管理员指南(AGD_ADM)”和“用户指南

(AGD_USR)”调整为本部分的“操作用户指南（AGD_OPE）”和“准备程序

（AGD_PRE）”；

17、GB/T18336.3-2008中将ACM类的“CM能力(ACM_CAP)”、“CM范围

(ACM_SCP)”，ADO类的“交付(ADO_DEL)”合到了ALC类中；

18、删除了GB/T18336.3-2008“ACM类：配置管理”中的“CM自动化（ACM_AUT）”；

19、删除了GB/T18336.3-2008“ADO类：交付和运行”中的“安装、生成和启

动(ADO_IGS)”；

20、GB/T18336.3-2008中将“测试覆盖(ATE_COV)”改为“覆盖（ATE_COV）”，

将“测试深度(ATE_DPT)”改为“深度（ATE_DPT）”；

21、删除了GB/T18336.3-2008“AVA类：脆弱性评定”中的“隐蔽信道分析

(AVA_CCA)”、“误用(AVA_MSU)”、“TOE安全功能强度(AVASOF)”；

22、GB/T18336.3-2008中将“脆弱性分析(AVA_VLA)”改为“脆弱性分析

（AVA_VAN）”；

23、GB/T18336.3-201X增加了“16ACO类：组合”；

24、GB/T