1、（規(guī)范性）包的規(guī)范本附錄的目標(biāo)和結(jié)構(gòu)本附錄的目標(biāo)是提供有關(guān)包的規(guī)范的更多信息。注：由于包不會(huì)被單獨(dú)評(píng)估，因此GB/T 18336.3 沒(méi)有定義包的評(píng)價(jià)準(zhǔn)則。當(dāng)一個(gè)包被納入PP、PP-模塊或ST中時(shí)，就要對(duì)該包進(jìn)行隱形評(píng)估。包的族引言圖 A.1 顯示了包族的結(jié)構(gòu)。對(duì)每一部分會(huì)在下文展開(kāi)討論。包族名稱多個(gè)有關(guān)聯(lián)目標(biāo)的包構(gòu)成包族。在這種情況下，包族名稱是強(qiáng)制性的，且包族的發(fā)起者應(yīng)盡量給包族分配一個(gè)唯一的名稱。包族概述以包族形式呈現(xiàn)的包應(yīng)包括對(duì)該族在較高層次上的概要描述。包族目的包族的目的體現(xiàn)該族的意圖。包如下所述，包族中包含一個(gè)或多個(gè)包。同一個(gè)包族中不能同時(shí)包括安全保障要求包和安全功能要求包。包包的

2、強(qiáng)制性內(nèi)容包的標(biāo)識(shí)包的標(biāo)識(shí)包括：包的名稱。包的名稱提供了關(guān)于包的目標(biāo)的唯一描述性信息；包的版本信息；最后的更新日期；發(fā)起者;所使用的GB/T 18336系列標(biāo)準(zhǔn)的版本引用。包也可被賦予一個(gè)短名稱。具有保障包或功能包的包族結(jié)構(gòu)示例：評(píng)估保障級(jí)別1 也稱為“EAL1”。注：對(duì)于在GB/T 18336-5中定義的包，以上 b) e) 條款的內(nèi)容已經(jīng)隱性包括在GB/T 18336-5的版本信息中。包的類型包被標(biāo)識(shí)為以下類型之一：功能包；或者保障包。包的概述包中的內(nèi)容包括高層次的概述和包的目標(biāo)。應(yīng)用注釋?xiě)?yīng)用注釋是可選的，但下列情況除外：對(duì)于功能包，與包中包含的安全功能要求相關(guān)的任何額外審計(jì)和管理要求應(yīng)在

3、應(yīng)用注釋部分說(shuō)明；功能包可依賴于其他功能包。這種依賴關(guān)系應(yīng)以文檔形式記錄在功能包中，也可在PP、PP-模塊或ST中記錄。功能包也可能指出某些有依賴關(guān)系的組件，這些依賴關(guān)系在該包內(nèi)無(wú)法滿足，但是預(yù)期可以被使用該包的另一個(gè)包、PP、PP-模塊或ST所滿足。示例一個(gè)包含加密協(xié)議（如TLS）規(guī)范的包，包中描述了較高級(jí)別的SFR組件，但密碼學(xué)原語(yǔ)并不包含在包中。在這種情況下，功能包的應(yīng)用注釋部分可能會(huì)提供依賴組件的可選列表，并可包括更詳細(xì)的信息，如針對(duì)相應(yīng)SFR所需的選擇/賦值操作。注：包的使用者包括PP、PP-模塊、其他包和ST的作者、集成商和評(píng)估者。組件（SFR組件或SAR組件）組件部分給出了包中所

4、包含的安全要求。本部分還提供了對(duì)要求進(jìn)行選擇的基本原理。安全要求可以是基于選擇的。見(jiàn) 8.2.4.2。可選的SFR(若需要，還包括配套的SPD元素和目的)也可以出現(xiàn)在功能包中。包的可選內(nèi)容安全問(wèn)題定義（功能包）保障包不應(yīng)包含此部分。功能包可包含此部分。本部分可包括任意描述功能包所解決的安全問(wèn)題的SPD元素。與可選SFR相關(guān)的SPD -元素可以在本部分中定義。應(yīng)用注釋?xiě)?yīng)被用于標(biāo)識(shí)出安全目的(如果適用)，以及與可選SPD元素相關(guān)聯(lián)的SFR。安全目的（功能包）保障包不應(yīng)包含此部分。功能包可包含此部分。在功能包用于PP/PP-模塊/ST的直接基本原理的情況下，不應(yīng)包括TOE的安全目的。功能包的安全目的

5、部分展示了派生自SPD的任何額外的TOE安全目的或TOE運(yùn)行環(huán)境安全目的。如果適用，與可選SFR關(guān)聯(lián)的TOE安全目的可以在本部分中定義。應(yīng)用注釋?xiě)?yīng)被用于標(biāo)識(shí)出與可選安全目的相關(guān)聯(lián)的 SPD-元素和SFR。應(yīng)用注釋?xiě)?yīng)用注釋是包中的可選部分。見(jiàn) A.3.1.4。應(yīng)用注釋部分可以包含包的使用者特別感興趣的信息。應(yīng)用注釋的展現(xiàn)形式無(wú)固定的正式要求，例如可以覆蓋有關(guān)使用限制的警告，或者是需要特別注意的領(lǐng)域。擴(kuò)展組件定義一個(gè)包可能包含擴(kuò)展組件。在這種情況下，包中包含提供擴(kuò)展組件定義的部分。評(píng)估方法/活動(dòng)包可以包括源自GB/T 30270的評(píng)估方法/活動(dòng)。如果包含了評(píng)估方法/活動(dòng)，則應(yīng)在包的安全要求部分包含

6、一個(gè)或多個(gè)符合性聲明。（見(jiàn) 9.4）。評(píng)估方法/活動(dòng)可以在包文檔中提供，也可以引用外部文檔。（規(guī)范性）保護(hù)輪廓的規(guī)范本附錄的目標(biāo)和結(jié)構(gòu)本附錄的目標(biāo)是總結(jié)PP的結(jié)構(gòu)和預(yù)期內(nèi)容。注1：本附錄未定義對(duì)PP的評(píng)估要求。PP的評(píng)估標(biāo)準(zhǔn)在GB/T 18336.3中給出的APE類中。注2：本附錄沒(méi)有給出PP-配置和PP-模塊規(guī)范的要求。這些可在附錄 C中找到。本附錄由以下主要部分組成：PP的規(guī)范在B.2章節(jié)對(duì)此進(jìn)行了總結(jié)，包括：如何使用PP；如何不使用PP。PP應(yīng)包含的內(nèi)容在B.3章節(jié)對(duì)此進(jìn)行了總結(jié)。在B.3.2至B.3.7中進(jìn)行了更詳細(xì)的描述，包括了PP的強(qiáng)制性內(nèi)容、這些內(nèi)容之間的相互關(guān)系，并給出了示例。

7、聲明與標(biāo)準(zhǔn)的一致性在B.4章節(jié)描述了PP作者如何聲明TOE需要滿足某一特定的標(biāo)準(zhǔn)。直接基本原理保護(hù)輪廓直接基本原理保護(hù)輪廓將SPD中的威脅和OSP直接映射到SFR中，并可能映射到運(yùn)行環(huán)境的安全目的。將在B.5中進(jìn)行詳細(xì)描述。PP的規(guī)范PP的使用方法PP通常是一種要求聲明，是由用戶社群、監(jiān)管實(shí)體或一組開(kāi)發(fā)人員定義的一組通用的安全要求集合。PP為消費(fèi)者提供了一種參考該集合的方法，并引導(dǎo)未來(lái)根據(jù)這些要求進(jìn)行評(píng)估。雖然并不排除其他的PP使用情景，但PP通常被用作：特定消費(fèi)者或消費(fèi)者群體的需求規(guī)范的一部分，這些消費(fèi)者只考慮購(gòu)買滿足PP的特定類型的IT產(chǎn)品；來(lái)自特定監(jiān)管實(shí)體的規(guī)章制度的一部分，該監(jiān)管實(shí)體只

8、允許使用符合PP要求的特定類型的IT產(chǎn)品；解決由各類消費(fèi)者提出的常見(jiàn)安全問(wèn)題，通常由包括多個(gè)IT產(chǎn)品開(kāi)發(fā)人員的小組定義，然后這些開(kāi)發(fā)人員生產(chǎn)這種類型的IT產(chǎn)品，以滿足他們共同市場(chǎng)的需求。不適用的情況在眾多角色中，PP不適用的兩個(gè)角色是：完整的規(guī)范；PP被設(shè)計(jì)為安全規(guī)范而不是通用規(guī)范。除非與安全相關(guān)，否則諸如互操作性、物理尺寸、重量、所需電壓等屬性不應(yīng)成為PP的一部分。這意味著一般來(lái)說(shuō)，PP是完整規(guī)范的一部分，但PP本身并不是一個(gè)完整的規(guī)范。單一產(chǎn)品的規(guī)范。與ST不同，PP用于描述特定類型的IT產(chǎn)品，而不是單個(gè)具體產(chǎn)品。當(dāng)只描述單一產(chǎn)品時(shí)，最好使用ST來(lái)實(shí)現(xiàn)此目的。PP的強(qiáng)制性內(nèi)容引言有兩種類型

9、的PP。首先是“常規(guī)”PP，它是包含B.3.2至B.3.7中描述的全部?jī)?nèi)容的PP。其次，在某些情況下，PP作者可以編寫(xiě)一個(gè)直接基本原理PP，它與包含TOE安全目的的保護(hù)輪廓具有不同的內(nèi)容。B.5中詳細(xì)描述了直接基本原理保護(hù)輪廓以及因?yàn)槭裁丛蚝驮谑裁辞闆r下使用直接基本原理PP。本附錄其他部分均假設(shè)PP具有完整的內(nèi)容。圖B.1顯示了GB/T 18336.3中給出的PP的內(nèi)容。圖B.1也可以用作PP的結(jié)構(gòu)概要，盡管也允許有其他結(jié)構(gòu)。例如，如果安全要求基本基本原理內(nèi)容特別多，可以將其包含在PP的附錄中，而不是包含在安全要求的部分。PP的單獨(dú)部分和這些部分的內(nèi)容簡(jiǎn)要總結(jié)如下，并在B.3.2至B.3.7

10、中進(jìn)行更詳細(xì)的解釋。保護(hù)輪廓的內(nèi)容PP包含：PP介紹，包含了PP參考和TOE類型的敘述性描述；符合性聲明，聲明顯示了：GB/T 18336系列標(biāo)準(zhǔn)相關(guān)部分的哪個(gè)版本可以適用；與GB/T 18336.2和GB/T 18336.3的符合性（符合或擴(kuò)展）；此PP是否聲明與其他任何PP和/或包相符合，且如果是這樣，聲明與哪些PP和/或包相符合，以及聲明的符合性類型。符合性陳述，包含：對(duì)于源自GB/T 30270的任何評(píng)估方法/活動(dòng)的引用；注1：任何評(píng)估方法/活動(dòng)的細(xì)節(jié)都可以包括在PP中，或相關(guān)的支持文檔中。當(dāng)完全相符合時(shí)，PP的這一部分出現(xiàn)了允許附加陳述，表明PP和PP-模塊可以與此PP聯(lián)合使用。ST

11、和由此PP派生的其他PP所要求的一致性類型。安全問(wèn)題定義，表明威脅、OSP和假設(shè)；安全目的，說(shuō)明如何在運(yùn)行環(huán)境的安全目的和TOE的可選安全目的之間劃分安全問(wèn)題的解決方案；擴(kuò)展組件定義，可定義新組件（即不包含在GB/T 18336.2或GB/T 18336.3內(nèi)的組件）。需要這些新組件來(lái)定義擴(kuò)展功能要求和擴(kuò)展保障要求；安全要求，將TOE的安全目的轉(zhuǎn)化為標(biāo)準(zhǔn)化語(yǔ)言。這種標(biāo)準(zhǔn)化語(yǔ)言采用SFR的形式。此外，PP的這一部分定義了SAR。PP概述（APE_INT）引言PP簡(jiǎn)介在兩個(gè)抽象層次上以敘述的方式描述了TOE：PP參考，為PP提供標(biāo)識(shí)材料；TOE概述，簡(jiǎn)要描述TOE。PP參考一個(gè)PP包含一個(gè)明確的P

12、P參考，用于識(shí)別該特定的PP。典型的PP參考由標(biāo)題、版本號(hào)、發(fā)起人和發(fā)布日期組成。注：這里要區(qū)分PP的發(fā)起人和PP的作者。典型的PP發(fā)起人如負(fù)責(zé)開(kāi)發(fā)PP的實(shí)體，PP作者則是負(fù)責(zé)PP生產(chǎn)的實(shí)體。示例：PP參考的一個(gè)例子是“亞特蘭蒂斯海軍電纜電話加密器PP，版本2b，亞特蘭蒂斯海軍采購(gòu)辦公室，2020年4月1日”。參考應(yīng)該是唯一的，這樣就可以區(qū)分不同的PP和相同PP的不同版本。PP參考有助于索引和參考PP并將其納入PP目錄。PP概述引言PP概述針對(duì)的是某TOE類型的潛在消費(fèi)者，他們正在尋找能夠滿足其安全要求規(guī)范的保護(hù)輪廓目錄。PP概述也針對(duì)那些可以使用PP設(shè)計(jì)TOE或調(diào)整現(xiàn)有產(chǎn)品的開(kāi)發(fā)人員。PP概

13、述的典型長(zhǎng)度是幾個(gè)段落。為此，PP概述簡(jiǎn)要描述TOE的使用及其主要安全屬性，標(biāo)明TOE類型，以及TOE可用的任何主要的非-TOE硬件/軟件/固件。TOE類型的使用和主要安全屬性對(duì)TOE類型的適用和主要安全屬性的描述旨在從通用的層面，對(duì)TOE的能力和用途給出一個(gè)概念。本部分是為PP作者、TOE開(kāi)發(fā)人員或潛在的TOE消費(fèi)者編寫(xiě)的，使用TOE消費(fèi)者能夠理解的語(yǔ)言，從業(yè)務(wù)操作的角度描述TOE類型的使用和主要安全屬性。示例：這方面的一個(gè)例子是“亞特蘭蒂斯海軍電纜電話加密器是一種加密設(shè)備，允許艦船之間通過(guò)亞特蘭蒂斯海軍電纜電話系統(tǒng)進(jìn)行機(jī)密通信。為此，它可以支持至少1024個(gè)不同的用戶，并支持至少500Mb

14、/s的加密速度。它允許船舶之間的雙邊通信和整個(gè)網(wǎng)絡(luò)的廣播。”TOE類型TOE概述標(biāo)識(shí)了此PP所描述的TOE的產(chǎn)品類型，例如：防火墻、VPN-防火墻、智能卡、加密調(diào)制解調(diào)器、內(nèi)聯(lián)網(wǎng)、Web服務(wù)器、數(shù)據(jù)庫(kù)和移動(dòng)設(shè)備等。TOE類型定義通常包括TOE軟件和硬件邊界的描述。示例：此TOE類型描述示例取自安全I(xiàn)C保護(hù)輪廓：“評(píng)估對(duì)象（TOE）是一種安全集成電路（安全I(xiàn)C），它由處理單元、安全組件、I/O端口（接觸式、非接觸式、或USB、MMC等類接口）以及易失性和非易失性存儲(chǔ)器（硬件）組成。如果IC制造商交付了專門為IC設(shè)計(jì)開(kāi)發(fā)的專有軟件，也可以被包含在TOE中。（.）在安全I(xiàn)C上運(yùn)行的所有其他軟件都稱為

15、安全I(xiàn)C嵌入式軟件，而不是TOE的一部分。”可用的非TOE硬件/軟件/固件雖然一些TOE不依賴于其他IT，但許多TOE，尤其是軟件TOE，依賴于其他額外的非TOE的硬件、軟件和/或固件。在后一種情況下，需要在PP概述中標(biāo)明這些非TOE的硬件/軟件/固件。由于PP不是針對(duì)特定的具體產(chǎn)品而編寫(xiě)，因此在許多情況下，只能給出可用硬件/軟件/固件的通用概念。在某一些情況下，可以提供更具體的信息。示例1：一個(gè)能夠提供更具體信息的示例是，當(dāng)已經(jīng)明確知道使用什么平臺(tái)時(shí)，針對(duì)一個(gè)特定的消費(fèi)者而提供的需求規(guī)范。示例2：硬件/軟件/固件標(biāo)識(shí)的示例包括：無(wú)標(biāo)識(shí)（對(duì)于完全獨(dú)立的TOE而言）；具有雙核2.10GHz或更快

16、處理器和4GB或更大的RAM的標(biāo)準(zhǔn)PC，運(yùn)行Yaiza操作系統(tǒng)專業(yè)版，版本為53.0更新6b、c或7，或版本54.0；標(biāo)準(zhǔn)64位服務(wù)器，配備2xQuad-Core核心處理器，16G或更大的RAM，運(yùn)行Yaiza操作系統(tǒng)，服務(wù)器版本7.0升級(jí)6d，顯卡為WonderMagic 12.0，配備1.01 WM驅(qū)動(dòng)程序集；CleverCard SB17067集成電路；CleverCard SB17067集成電路，運(yùn)行QuickOS智能卡操作系統(tǒng)v12.0版本；使用FP9處理器的智能手機(jī)和平板電腦上的Yaiza mobile-OS 3.1.6。符合性聲明和符合性陳述（APE_CCL）引言PP的符合性聲明

17、部分描述了PP如何：說(shuō)明GB/T 18336系列相關(guān)部分的適用版本；與GB/T 18336.2及GB/T 18336.3的符合性（即為符合的或擴(kuò)展的）；聲明與其他PP的符合性（如果有）；聲明與包的符合性（如果有）；關(guān)于PP如何符合GB/T 18336系列標(biāo)準(zhǔn)的描述包括兩個(gè)部分：所使用的GB/T 18336系列相關(guān)部分的版本以及PP是否包含擴(kuò)展的安全要求（見(jiàn)10.3和D.3.6）。PP對(duì)其他PP的符合性聲明描述意味著PP列出了滿足所聲明符合性的任何其他PP。還標(biāo)識(shí)了所聲明的符合性類型。對(duì)此的解釋見(jiàn)10.3。PP對(duì)包的符合性聲明描述意味著PP列出了滿足所聲明符合性的包。對(duì)此的解釋見(jiàn)10.3。注1：

18、關(guān)于符合性聲明在PP-模塊中的使用，參見(jiàn)C.2.2.5。注2：關(guān)于符合性聲明在直接基本原理PP中的使用，參見(jiàn)B.5.2。PP的符合性陳述部分描述了PP如何：參考源自GB/T 30270的任何評(píng)估方法和/或活動(dòng)；可與其他PP和PP-模塊一起在PP-配置中使用。在嚴(yán)格符合性的情況下，使用符合性陳述是必需的。在符合性陳述中，對(duì)評(píng)估方法/活動(dòng)的參考意味著PP提供了對(duì)評(píng)估過(guò)程中使用的評(píng)估方法和/或活動(dòng)的參考，而這里的評(píng)估過(guò)程是基于聲明了與該P(yáng)P相符的ST的。這些評(píng)估方法和活動(dòng)可直接包含在PP中，也可在參考的支持文檔中找到。不需要在PP中復(fù)制這些評(píng)估方法和活動(dòng)的文本描述。見(jiàn)10.3。如果要使用源自GB/T

19、 30270的評(píng)估方法/評(píng)估活動(dòng)來(lái)評(píng)估PP，則應(yīng)在相關(guān)安全要求部分通過(guò)以下形式的描述加以標(biāo)明：“本PP要求使用中定義的評(píng)估方法/評(píng)估活動(dòng)。”在本描述形式中，將替換為相關(guān)評(píng)估方法和評(píng)估活動(dòng)的位置標(biāo)識(shí)。該參考可以是包含PP的文檔，也可以是一個(gè)或多個(gè)單獨(dú)的文檔。注3：如13.5中所述，在某些情況下，評(píng)估方案并不總是批準(zhǔn)使用特定的EM/EA。PP中的符合性類型說(shuō)明了ST和/或其他PP應(yīng)如何與該P(yáng)P相符。PP作者選擇是否需要滿足“精確”、“嚴(yán)格”或“可論證”的符合性。精確符合性如果選擇了精確符合性，PP作者應(yīng)在適用的情況下在PP的符合性聲明部分的允許附加聲明中指定以下信息：基于此PP的ST使用的其他PP

20、，或與此PP共用在PP-配置中的其他PP。某PP模塊，在該P(yáng)P模塊的基礎(chǔ)PP模塊中指定此PP，或該P(yáng)P模塊可能存在于也包括此PP的PP-配置中。注1：如果上述兩個(gè)選項(xiàng)都沒(méi)有，則ST僅能聲明與PP精確符合。注2：一個(gè)PP不能聲明與另一個(gè)PP精確符合。安全問(wèn)題定義（APE_SPD）有關(guān)SPD的信息和要求，請(qǐng)參見(jiàn)7.1。包括威脅、假設(shè)和組織安全策略（OSP）。安全目的（APE_OBJ）有關(guān)安全目的的信息和要求，包括TOE安全目的和運(yùn)行環(huán)境安全目的，請(qǐng)參見(jiàn)7.2。注：在直接基本原理的情況下，TOE安全目的不需包括在內(nèi)。擴(kuò)展組件定義（APE_ECD）在許多情況下，PP中的安全要求是基于GB/T 1833

21、6.2或GB/T 18336.3中給出的組件（見(jiàn)B.3.7）。然而，在某些情況下，PP中的要求可能不是基于GB/T 18336.2或GB/T 18336.3中的組件。在這種情況下，應(yīng)定義新組件，即擴(kuò)展組件，并在擴(kuò)展組件定義部分提供定義。有關(guān)這方面的更多信息，請(qǐng)參見(jiàn)8.4。注：本節(jié)只包含擴(kuò)展組件，而不包含基于擴(kuò)展組件的擴(kuò)展要求。擴(kuò)展要求包括在B.3.7所述的安全要求一節(jié)中，并將其與基于GB/T 18336.2或GB/T 18336.3中給出的組件的要求采用相同的處理辦法。安全要求（APE_REQ）引言安全要求包括兩組要求：安全功能要求（SFR）：將TOE安全目的轉(zhuǎn)換為標(biāo)準(zhǔn)化語(yǔ)言；安全保障要求（S

22、AR）：描述如何得到TOE符合SFR的保障。這兩組將在7.3中討論。在PP中包含要求對(duì)于和另一PP具有嚴(yán)格符合性的PP，應(yīng)包括本PP中的所有要求，并可能在相符合的PP中包括附加要求。對(duì)于和另一PP具有可論證符合性的PP，應(yīng)包括本PP中的所有要求，或在相符合的PP中提供解釋如何滿足這些要求的原理。對(duì)所有符合類型性（精確、嚴(yán)格和可論證），PP中可包括下列任意類型的需求：如果一個(gè)PP包含可選的要求，與之具有符合性的PP可實(shí)例化這些要求，確保包含與要求相關(guān)的任何必需的SPD元素。不管PP要求什么類型的符合性，都可以按照上述去做。省略可選SFR并不構(gòu)成PP的“部分符合性”，因此是允許的。參考PP中的其他

23、標(biāo)準(zhǔn)在某些情況下，PP作者需要參考外部標(biāo)準(zhǔn)，例如特定的密碼標(biāo)準(zhǔn)或協(xié)議。GB/T 18336系列允許以兩種方式來(lái)完成上述目標(biāo)：作為OSP（或其一部分）；示例1：政府出臺(tái)了相關(guān)標(biāo)準(zhǔn)來(lái)定義應(yīng)如何選擇密碼，這可以在PP中表示為OSP。這可能會(huì)生成環(huán)境目的（例如，如果TOE用戶需要選擇相應(yīng)的密碼），或者也可能生成TOE的安全目的，這時(shí)如果TOE生成了密碼，也會(huì)相應(yīng)生成適當(dāng)?shù)腟FR（可能是FIA類）。在這兩種情況下，PP作者遵循的基本原理都是需要使TOE安全目的和SFR適合于實(shí)現(xiàn)OSP。如果OSP是由SFR實(shí)現(xiàn)的，評(píng)估人員將檢查這實(shí)際上是否合理（并可決定是否需要為此進(jìn)一步查看標(biāo)準(zhǔn)），如下所述。作為一種技術(shù)

24、標(biāo)準(zhǔn)，用于細(xì)化某一組件或安全要求；示例2：FCS_CKM.1.1細(xì)化：“選擇：TSF，TOE平臺(tái)應(yīng)根據(jù)指定的加密密鑰生成算法生成非對(duì)稱加密密鑰選擇：使用2048位或更大的加密密鑰大小的RSA方案來(lái)滿足以下條件：選擇：FIPS PUB 186-4，“數(shù)字簽名標(biāo)準(zhǔn)（DSS）”，附錄B.3；ANSI X9.31-1998，第4.1節(jié)；使用符合以下條件的“NIST曲線”P-256、P-384和選擇：P-521，無(wú)其他曲線的ECC方案：FIPS PUB 186-4，“數(shù)字簽名標(biāo)準(zhǔn)（DSS）”，附錄B.4；使用滿足以下條件的2048位或更大的加密密鑰大小的FFC方案：FIPS PUB 186-4，“數(shù)字簽

25、名標(biāo)準(zhǔn)（DSS）”，附錄B.1”。如果只需要參考標(biāo)準(zhǔn)的某一部分，應(yīng)在SFR的細(xì)化中無(wú)歧義的明確說(shuō)明該部分。注：PP作者需注意，在SFR中引用標(biāo)準(zhǔn)會(huì)給開(kāi)發(fā)符合PP的TOE的開(kāi)發(fā)人員帶來(lái)很大的負(fù)擔(dān)（取決于所需保障級(jí)別和標(biāo)準(zhǔn)的復(fù)雜性和內(nèi)容的多少），在評(píng)估與參考標(biāo)準(zhǔn)的符合性時(shí)，更適合采用其他可選擇的（非GB/T 18336相關(guān)的）方法。直接基本原理PP引言編寫(xiě)PP時(shí)應(yīng)考慮到將以該P(yáng)P為基礎(chǔ)而編寫(xiě)的ST。如D.4所述，在某些情況下，需要編寫(xiě)一份支持直接基本原理ST規(guī)范的PP。直接基本原理PP的目的是將SPD、運(yùn)行環(huán)境安全目的與SFR之間的間接程度降到最低。在某些情況下，可以省略TOE安全目的的定義。在這

26、種情況下，使用自然語(yǔ)言描述增強(qiáng)SFR，以及運(yùn)行環(huán)境目的可以直接映射SPD。直接基本原理PP包括：PP介紹，包括PP參考和TOE概述；符合性聲明；運(yùn)行環(huán)境的安全目的；SFR和SAR（包括擴(kuò)展組件定義）以及安全要求的基本原理（僅在依賴關(guān)系沒(méi)有得到滿足時(shí)）。直接基本原理PP的內(nèi)容如圖B.2所示。直接基本原理PP的內(nèi)容直接基本原理PP的符合性聲明（APE_CCL）一個(gè)直接基本原理PP只能聲明對(duì)另一直接基本原理PP具有符合性。常規(guī)PP可以聲明對(duì)另一直接基本原理PP的符合性。直接基本原理PP的安全目的（APE_OBJ）與包含TOE安全目的的PP相比，直接基本原理PP在安全目的方面有以下差異：不包括TOE的

27、安全目的。仍應(yīng)描述運(yùn)行環(huán)境的安全目的；只包括針對(duì)運(yùn)行環(huán)境安全目的基本原理，因?yàn)樵赑P中沒(méi)有TOE安全目的；直接原理PP的安全要求（APE_REQ）。應(yīng)包括直接將SFR和運(yùn)行環(huán)境的任何安全目的映射到SPD-元素的安全要求基本原理。建議將這部分安全要求基本原理直接置于SPD部分中的每個(gè)威脅、OSP和假設(shè)之下。與常規(guī)的PP一樣，安全要求基本原理還需要證明任何未被滿足的SFR依賴關(guān)系；基本原理的這一部分通常置于SFR定義之后。PP的可選內(nèi)容PP可能包括源自GB/T 30270的評(píng)估方法/活動(dòng)。與PP相關(guān)的評(píng)估方法/活動(dòng)在PP的符合性聲明部分中被參考。見(jiàn)10.3。如果PP作者決定在PP中包含任何評(píng)估方法

28、和/或活動(dòng)，那么它們可以在一個(gè)（單獨(dú)的）支撐文檔中進(jìn)行描述，或者在PP的安全要求部分與相關(guān)的安全要求一起描述。（規(guī)范性）PP-模塊和PP-配置的規(guī)范本附錄的目標(biāo)和結(jié)構(gòu)本附錄的目的是總結(jié)PP-模塊和PP-配置的結(jié)構(gòu)和預(yù)期內(nèi)容。注1：本附錄沒(méi)有定義PP-配置評(píng)估的要求。PP-配置評(píng)估準(zhǔn)則在GB/T 18336.3中給出的ACE類中。PP-模塊規(guī)范使用PP-模塊PP-模塊是一組滿足特定消費(fèi)者要求的用戶或開(kāi)發(fā)人員、監(jiān)管機(jī)構(gòu)、管理人員或任何其他實(shí)體的安全陳述。一個(gè)PP-模塊補(bǔ)充了一個(gè)或多個(gè)PP，也可補(bǔ)充可選的其他PP-模塊，這些PP-模塊被稱為此PP-模塊的“基礎(chǔ)PP-模塊”，并允許消費(fèi)者引用此陳述，方

29、便對(duì)其進(jìn)行評(píng)估，以及與相符合的評(píng)估過(guò)的TOE進(jìn)行比較。PP-模塊只能在包含這個(gè)基礎(chǔ)PP-模塊的PP-配置中使用。注：基礎(chǔ)PP是PP-模塊所需要的PP。基礎(chǔ)PP-模塊是與其基礎(chǔ)PP-模塊一起被另一個(gè)PP-模塊所需要的PP-模塊。PP-模塊的強(qiáng)制性內(nèi)容引言 圖C.1展示了PP-模塊的內(nèi)容。PP-模塊的內(nèi)容PP-模塊的內(nèi)容總結(jié)如下，并在C.2.2.2到C.2.3中詳細(xì)解釋。PP-模塊包含：簡(jiǎn)介部分，用以標(biāo)識(shí)PP-模塊，標(biāo)識(shí)其所基于的基礎(chǔ)PP-模塊，并提供其環(huán)境內(nèi)TOE的描述，以滿足基礎(chǔ)PP-模塊的描述；一致性基本原理，說(shuō)明PP-模塊及其基礎(chǔ)PP-模塊之間對(duì)應(yīng)關(guān)系；符合性聲明，關(guān)于GB/T 18336

30、系列標(biāo)準(zhǔn)的符合性聲明陳述，及在精確符合的情況下允許的附加聲明；安全問(wèn)題定義，包含威脅、假設(shè)和OSP的定義；安全目的，根據(jù)TOE目的及其運(yùn)行環(huán)境目的提出的安全問(wèn)題解決方案；可選的擴(kuò)展功能組件定義，其中引入了GB/T 18336.2中未包含的新功能組件；安全功能要求部分，包含TOE安全目的的標(biāo)準(zhǔn)化陳述；安全保障要求部分，除了在精確符合的情況下SAR繼承自基礎(chǔ)PP。PP-模塊介紹PP-模塊參考PP-模塊介紹提供了一個(gè)清晰和無(wú)歧義的參考，從而允許對(duì)PP-模塊進(jìn)行標(biāo)識(shí)。一個(gè)典型的參考包括PP-模塊的標(biāo)題、文檔的版本、發(fā)起人和發(fā)布日期。PP-模塊參考可用于在PP目錄中為文檔編制索引。基礎(chǔ)PP-模塊的標(biāo)識(shí)P

31、P-模塊的介紹標(biāo)識(shí)了其基礎(chǔ)PP-模塊。標(biāo)識(shí)是由一列參考組成。需要與一個(gè)基礎(chǔ)PP-模塊一起使用的一個(gè)PP-模塊，例如B1 ., Bn，將提供以下形式的標(biāo)識(shí)列表：B1.和.Bn，其中n1這組PP/PP-模塊應(yīng)該是封閉的，也就是說(shuō)，對(duì)于任何PP-模塊Bi，它自己的基礎(chǔ)PP-模塊應(yīng)該屬于集合B1 .Bn。注1：這意味著集合B1 ., Bn要么不包含任何PP-模塊，要么包含至少一個(gè)只需要基礎(chǔ)PP而不需要其他基礎(chǔ)PP-模塊的PP-模塊。一個(gè)PP-模塊可用其他基礎(chǔ)PP-模塊的集合做備選，例如S1 .Sk;在這種情況下，標(biāo)識(shí)列表應(yīng)指出：S1 或 Sk，其中k 1基礎(chǔ)PP-模塊的備選集合的標(biāo)識(shí)展開(kāi)形式是：（B1

32、.和. Bni） . 或 . （B1.和. Bnk）其中 k 1 且ni 1注2：一個(gè)聲明了或操作列表的PP-模塊等價(jià)于許多包含Si元素的PP-模塊。也就是說(shuō)，或操作列表是一種快捷方式用以避免針對(duì)不同的使用需要定義并維護(hù)相似的PP-模塊。TOE概述如果確保PP-模塊及其基礎(chǔ)PP-模塊之間的一致性，則PP-模塊的TOE概述可以完成基礎(chǔ)PP-模塊的TOE概述；PP-模塊的TOE類型可能與基礎(chǔ)PP-模塊的TOE類型相同，也可能引入滿足PP-模塊目標(biāo)所需的特定特性；PP-模塊可以在基礎(chǔ)PP-模塊所陳述的內(nèi)容之外引入進(jìn)一步的使用方法和主要安全特性；PP-模塊可以對(duì)特定的非TOE硬件、軟件和/或固件進(jìn)行說(shuō)

33、明，并要與基礎(chǔ)PP-模塊中的聲明相符合。在PP-模塊中，補(bǔ)充基礎(chǔ)PP-模塊的TOE概述的可能性與在PP或ST中補(bǔ)充他們聲明相符合的另一PP的TOE概述的可能性具有相同的含義。當(dāng)PP-模塊中的TOE概述聲明與基礎(chǔ)PP-模塊中的TOE概述相同時(shí)，即沒(méi)有額外添加內(nèi)容時(shí)，可通過(guò)參考給出。PP-模塊可以提供與PP-模塊盡可能多的特定TOE概述。一致性基本原理PP-模塊應(yīng)該提供一個(gè)與其基礎(chǔ)PP-模塊相關(guān)的一致性基本原理。如果PP-模塊指明了備選的基礎(chǔ)PP-模塊集，則PP-模塊應(yīng)提供與備選的基礎(chǔ)PP-模塊數(shù)量相同的一致性基本原理。對(duì)每個(gè)基礎(chǔ)PP-模塊的一致性分析，應(yīng)根據(jù)TOE類型、SPD、目的和SFR進(jìn)行。

34、最后，目標(biāo)是證明TOE能夠滿足基礎(chǔ)PP-模塊和PP-模塊中提供的TOE類型描述，并滿足PP-模塊及其基礎(chǔ)PP-模塊中規(guī)定的所有SFR。一致性基本原理應(yīng)證明在PP-模塊及其基礎(chǔ)PP-模塊中定義的SPD、目的和SFR作為一個(gè)整體不會(huì)產(chǎn)生沖突矛盾。一致性基本原理可以使用SPD/目標(biāo)/SFR之間的對(duì)應(yīng)表以及文本論證。保障基本原理保障基本原理應(yīng)證明從基礎(chǔ)PP繼承的SAR集合的適用性，與PP-模塊中定義的SPD相一致，也就是說(shuō)，保障要求和威脅模型并不矛盾。如果PP-模塊沒(méi)有從其基礎(chǔ)PP繼承其SAR集合，則保障基本原理應(yīng)證明就PP-模塊及其基礎(chǔ)PP-模塊的共有資產(chǎn)而言，PP-模塊及其基礎(chǔ)PP-模塊中的保障要

35、求不存在相互矛盾的情況。符合性聲明和符合性陳述引言所有PP-模塊中都應(yīng)包括每一PP-模塊的這部分內(nèi)容，并描述PP-模塊如何符合：GB/T 18336.2，GB/T 18336.3，它們的各個(gè)版本，以及任何擴(kuò)展安全要求的使用；功能和保障包。PP-模塊不得聲明對(duì)任何PP、其他PP-模塊或PP-配置的符合性。PP-模塊的符合性聲明標(biāo)識(shí)了所需的符合性類型。精確符合性從基本PP繼承而來(lái)，要求所有基礎(chǔ)PP-模塊也都具有精確符合性。PP-模塊的符合性聲明還可以標(biāo)識(shí)需要與之一起使用的任何評(píng)估方法和/或活動(dòng)。如果要使用源自GB/T 30270的評(píng)估方法/評(píng)估活動(dòng)來(lái)評(píng)估PP-模塊，則應(yīng)在相關(guān)的安全要求部分通過(guò)以下

36、形式的聲明加以標(biāo)識(shí)：“本PP-模塊要求使用中定義的評(píng)估方法/評(píng)估活動(dòng)。”其中由適用于PP-模塊的評(píng)估方法和評(píng)估活動(dòng)的位置的標(biāo)識(shí)代替。該參考可能是指包含包的文檔，也可能是指一份或多份單獨(dú)的文檔。注：評(píng)估方法/評(píng)估活動(dòng)既可以包含在PP-模塊本身中，也可以包含在描述它們的一個(gè)或多個(gè)單獨(dú)的文件中。精確符合性在精確符合性的情況下，允許附加聲明除了基礎(chǔ)PP-模塊的PP-模塊集之外，還包括PP和PP-模塊的標(biāo)識(shí)，這些允許具有該P(yáng)P-模塊的PP-配置中使用。PP-配置中要求精確符合性的所有組件，在其符合性聲明中也應(yīng)要求精確符合性。注1：這幫助維持了精確符合性的概念，即PP-模塊的作者可以控制哪些其他要求可以與

37、PP-模塊中的要求相結(jié)合。圖C.2顯示了在精確符合性的情況下，符合性聲明和符合性陳述是如何在精確符合性的單一保障下被繼承的。精確符合性場(chǎng)景下繼承的符合性聲明和符合性陳述注2：在精確符合性的情況下，不允許在PP-配置中定義EM/EA（即使用的EM/EA只能在PP-配置中使用的PP和PP-模塊中進(jìn)行標(biāo)識(shí)）。安全問(wèn)題定義本節(jié)定義PP-模塊需要解決的安全問(wèn)題。它可以包含所有類型的SPD-元素，即假設(shè)、威脅和OSP。PP-模塊定義了與基礎(chǔ)PP-模塊的安全問(wèn)題以及在PP-模塊簡(jiǎn)介中提供的TOE定義及其環(huán)境定義相關(guān)的安全問(wèn)題。每個(gè)SPD元素可能來(lái)自基礎(chǔ)PP-模塊，也可能是全新的。要想“E”成為PP-模塊的一

38、個(gè)SPD-元素，則以下情況之一需要成立：“E”屬于已標(biāo)明的基礎(chǔ)PP-模塊；對(duì)SPD元素的引用就足夠了；“E”是對(duì)基礎(chǔ)PP-模塊的SPD元素的細(xì)化；“E”是一個(gè)新的SPD元素，與PP或其環(huán)境的附加屬性有關(guān)。注1：細(xì)化的SPD元素可以作為新的SPD元素處理，而不會(huì)對(duì)SPD的含義產(chǎn)生任何影響。注2：PP-模塊可以像ST那樣引入超出了基礎(chǔ)PP-模塊范圍的假設(shè)。安全目的本節(jié)定義了TOE和TOE運(yùn)行環(huán)境的安全目的。PP-模塊定義了與基礎(chǔ)PP-模塊的安全目的相關(guān)的新安全目的。每個(gè)安全目的可能來(lái)自一個(gè)基礎(chǔ)PP-模塊，也可能是全新的。要想“O”成為PP-模塊的一個(gè)目標(biāo)，則以下情況之一需要成立：“O”屬于基礎(chǔ)PP

39、-模塊；僅引用安全目的就足夠了；“O”是基礎(chǔ)PP-模塊安全目的的細(xì)化；“O”是PP-模塊引入的新目的。注：細(xì)化后的目的可以作為新目的處理，對(duì)整個(gè)目的集的含義沒(méi)有任何影響。只有當(dāng)PP-模塊涉及基礎(chǔ)PP-模塊范圍以外的內(nèi)容時(shí)，PP模塊才可以為TOE的運(yùn)行環(huán)境引入新目的。在PP-模塊細(xì)化到TOE類型的情況下，一些基礎(chǔ)PP-模塊的環(huán)境安全目的可以成為PP-模塊中TOE的安全目的。本節(jié)還定義了SPD和PP-模塊的安全目的之間的基本原理，包括通過(guò)追溯PP-模塊的SPD到其安全目的而建立的映射，以及證明追溯有效的論證，如7.2.5所述。此外，映射不僅要表明所有SPD元素都被覆蓋，而且還必須表明不存在無(wú)用的安

40、全目的。還可能存在PP-模塊的一些安全目的覆蓋基礎(chǔ)PP-模塊中的SPD元素，但不屬于PP-模塊自身的SPD。此信息不是必需的，但可以在應(yīng)用注釋中提供。擴(kuò)展功能組件定義本部分與B.3.6中規(guī)定的PP和ST擴(kuò)展組件部分相同。安全要求安全要求包括兩組要求：安全功能要求（SFR）；將TOE的安全目的轉(zhuǎn)換為標(biāo)準(zhǔn)化語(yǔ)言；安全保障要求（SAR）。對(duì)于如何獲取TOE符合SFR的保障的描述。這兩組內(nèi)容將在7.3中討論。安全功能要求根據(jù)PP-模塊中的TOE安全目的集和基礎(chǔ)PP-模塊的安全功能要求，定義TOE的安全功能要求。每個(gè)安全功能要求可能來(lái)自基礎(chǔ)PP-模塊，也可能是全新的。要想“R”成為PP-模塊的安全功能要

41、求，以下情況之一成立：“R”屬于基礎(chǔ)PP-模塊；對(duì)該要求的引用就足夠了；“R”是基礎(chǔ)PP-模塊中SFR的細(xì)化；“R”是PP-模塊引入的新要求。注：細(xì)化的要求可以作為新的要求處理，而不會(huì)對(duì)整個(gè)要求集的含義產(chǎn)生任何影響。本節(jié)還定義了PP-模塊的SFR和TOE安全目的之間的基本原理，該基本原理內(nèi)容包括追溯SFR到PP-模塊的TOE目的而建立的映射，以及證明追溯是有效的論證，如7.2.5所述。此外，映射不僅應(yīng)表明TOE的所有目的都已涵蓋，而且還應(yīng)表明沒(méi)有無(wú)用的安全功能要求。PP-模塊的SFR還可能包括基礎(chǔ)PP-模塊中不屬于PP-模塊自身的TOE安全目的。此信息不是必需的，但可以在應(yīng)用注釋中提供。PP-

42、模塊可以定義并包括可選SFR（和任何必需的SPD元素），這一點(diǎn)與之前在B.3.7中為PP規(guī)定的類似。安全保障要求PP-模塊定義了在包括此PP-模塊的PP-配置中使用的一組SAR。C.2.2.4中描述的保障基本原理確保這組SAR與基礎(chǔ)PP-模塊保持一致性。使用單一保障的PP-模塊從它的基礎(chǔ)PP-模塊繼承SAR集合，包括任何保障包，如預(yù)定義的EAL。應(yīng)能解決具有不同SAR的基礎(chǔ)PP-模塊的ANDed元素的問(wèn)題，處理方法應(yīng)與一個(gè)與所有這些PP相符合的PP的處理方法相同。直接基本原理PP-模塊PP-模塊的編寫(xiě)意圖是，它們與同樣使用直接基本原理的基礎(chǔ)PP-模塊中的組件一起使用。在這種情況下，TOE的安全

43、目的不包括在PP-模塊中，而TOE的運(yùn)行環(huán)境的安全目的可能包括在內(nèi)。直接基本原理中PP-模塊的內(nèi)容如圖C.3所示。直接基本原理PP-模塊的內(nèi)容包含來(lái)自基礎(chǔ)PP-模塊的SPD元素的指南為了限制PP-模塊中包含的信息量，PP-模塊作者應(yīng)用了以下規(guī)則：設(shè)E、O和R分別屬于PP/PP-模塊Q的SPD、安全目的和SFR，R映射到O，O映射到E。設(shè)M是PP-模塊，Q屬于M的基礎(chǔ)PP-模塊。M必須滿足以下條件：E，O，R，以及它們之間的映射，只有當(dāng)這些元素中至少有一個(gè)鏈接到M中的新元素時(shí)，才應(yīng)該屬于M，即：或者M(jìn)中存在新的SPD元素E，使O映射到E；或M中有一個(gè)新的目標(biāo)O，使得O映射到E或R映射到O；或在M

44、中有一個(gè)新的要求R，使得R被映射到O。也就是說(shuō)，一個(gè)PP-模塊將不包含基礎(chǔ)PP-模塊已有的部分，除非它們被要求滿足新的需求。在這里，細(xì)化的元素可以認(rèn)為是新的元素。PP-模塊的可選內(nèi)容PP-模塊可以選擇性地包括源自GB/T 30270的評(píng)估方法/活動(dòng)。與PP-模塊相關(guān)的評(píng)估方法/活動(dòng)在符合性聲明部分中予以標(biāo)明。詳見(jiàn)11.2.3.3。如果PP-模塊作者決定在PP-模塊中包含任何評(píng)估方法和/或活動(dòng)，那么這些方法/活動(dòng)可能與相關(guān)安全要求一起在安全要求部分中提供，也可能在任何其他合適的部分或外部文件中提供。適用時(shí)，應(yīng)用注釋?xiě)?yīng)與PP-模塊中的特定要求相關(guān)聯(lián)。PP-配置規(guī)范引言PP-配置的內(nèi)容如下圖C.4所

45、示，并在附錄C.3.2至C.3.7中詳細(xì)解釋。PP-配置的內(nèi)容PP-配置包含：PP-配置唯一標(biāo)識(shí)的參考；標(biāo)識(shí)組成PP-配置的PP和PP-模塊的組件陳述，包括定義一組封閉組件所需的所有基礎(chǔ)PP-模塊；一份符合性聲明，說(shuō)明GB/T 18336系列標(biāo)準(zhǔn)相關(guān)部分的版本，對(duì)GB/T 18336.2和GB/T 18336.3的符合性聲明，對(duì)保障包的符合性聲明，以及一份符合性陳述，其中定義ST與本PP-配置的符合性是否必須是精確的、嚴(yán)格的、可論證的，或是從其組件集繼承的嚴(yán)格的和可論證的組合，以及任何適用的評(píng)估方法/活動(dòng)；TOE類型的描述；根據(jù)PP-配置組件定義的子TSF對(duì)TSF組織的描述；SAR陳述，詳細(xì)描

46、述了適用于整個(gè)TOE的SAR集合。在多重保障的情況下，SAR陳述應(yīng)包括應(yīng)用于PP-配置組件中定義的子TSF的SAR集。SAR陳述還包括保障基本原理，以確保PP-配置及其組件之間的一致性。注：保障包可以是來(lái)自GB/T 18336.5的EAL。PP-配置的參考PP-配置參考提供了一個(gè)清晰和無(wú)歧義的標(biāo)識(shí)，通常由標(biāo)題、版本號(hào)、作者和發(fā)布日期組成。PP-配置參考可用于在目錄中索引文檔。組件陳述PP-配置組件陳述可以標(biāo)識(shí)出組成PP-配置的PP和PP-模塊。PP-配置組件陳述應(yīng)包括相應(yīng)PP-模塊所需的基礎(chǔ)PP-模塊。如果PP-模塊指定了備選的基礎(chǔ)PP-模塊，在PP-配置中只能引用其中的一個(gè)集合。注：PP-配

47、置不能直接聲明與功能包的符合性，不管它們的組件是否聲明了符合性。在多重保障的情況下，PP-配置組件陳述應(yīng)根據(jù)PP-配置組件定義的子TSF提供TSF組織。TOE概述PP-配置的TOE概述應(yīng)提供：PP-配置的TOE類型，被聲稱與PP-配置相符合的ST所適用；TOE的預(yù)期用途和主要安全屬性；可用的非TOE硬件、軟件和/或固件（如果適用）。一致性基本原理PP-配置應(yīng)提供一致性基本原理，以確保組件組合的兼容性。一致性基本原理應(yīng)證明TOE概述與PP-配置組件的TOE概述是一致的，并且這些組件中定義的SPD、安全目的和SFR的結(jié)合使用不會(huì)導(dǎo)致矛盾。一致性基本原理可以使用SPD/安全目的/SFR之間的對(duì)應(yīng)表以

48、及文本論證。符合性聲明和符合性陳述GB/T 18336系列的符合性聲明適用于PP-配置的GB/T 18336系列相關(guān)部分的版本。符合性類型ST與PP-配置的符合性應(yīng)是完全的或嚴(yán)格的或可論證的；如果PP-配置包含兩種符合性類型的組件，則應(yīng)該是精確的符合性和可論證的符合性的組合。任何聲明與PP-配置相符合的ST都應(yīng)符合PP-配置符合性聲明中要求的符合性類型。保障包的符合性聲明符合性聲明可以包含一個(gè)保障包符合性聲明，描述PP-配置對(duì)保障包的任何符合性。一個(gè)PP-配置中可以聲明對(duì)多個(gè)包的符合性。評(píng)估方法/活動(dòng)參考陳述PP-配置EM/EA的符合性陳述還可以標(biāo)識(shí)需要使用的任何評(píng)估方法/活動(dòng)。如果一個(gè)PP配

49、置是嚴(yán)格的或可論證的符合性類型（但不是精確符合性類型），則該P(yáng)P配置可以進(jìn)一步包括PP-配置組件中參考的評(píng)估方法/活動(dòng)之外的評(píng)估方法/活動(dòng)。精確符合性的附加要求如果PP-配置在其符合性陳述中選擇了精確符合性作為其符合性類型，則：如果PP-配置中任何一個(gè)組件要求精確符合性，那么PP-配置中所有其他組件也需要精確符合性，并且在PP-配置的符合性陳述中需要明確精確符合性；PP-配置中的所有組件應(yīng)允許PP-配置中的所有其他組件在PP-配置中各自符合性聲明部分的允許附加聲明中一起使用；注：PP-模塊不需要在其允許附加聲明中包含自己的基礎(chǔ)PP-模塊，因?yàn)樗鼈円呀?jīng)被隱性允許。圖C.5中提供了一個(gè)示例。適用于

50、PP-配置的EM/EA只能是PP-配置組件中包含的EM/EA;不允許額外的評(píng)估方法/活動(dòng)，或是修改PP-配置組件的評(píng)估方法/活動(dòng)。PP-配置和精確符合性示例：PP-配置在其符合性陳述中要求精確符合性，因?yàn)榛綪P中都要求精確符合，因此被PP-模塊繼承。PP-模塊X和Y都有一個(gè)相同的基礎(chǔ)PP集：PP B和PP C，兩者都要求精確符合性。以下陳述（如圖所示）應(yīng)該是真實(shí)的，這是一個(gè)可評(píng)估的PP-配置，具有“精確符合性”的符合性聲明：PP-模塊從它們的基礎(chǔ)PP繼承符合性陳述，所以它們的符合性陳述是精確符合性的類型；PP-配置需要精確符合性，因?yàn)镻P-模塊需要精確符合性；PP B應(yīng)在其符合性陳述中表明，

51、它允許與PP C、PP-模塊X和PP-模塊Y一起使用；PP C應(yīng)在其符合性陳述中表明，它允許與PP B、PP-模塊X和PP-模塊Y一起使用；PP-模塊X應(yīng)在其符合性陳述中表明，它允許與PP-模塊Y一起使用；PP-模塊Y應(yīng)在其符合性陳述中表明，它允許與PP-模塊X一起使用。SAR陳述PP-配置的SAR陳述規(guī)定了一組SAR，這些SAR適用于由聲明與此PP-配置相符合的ST所規(guī)范的TOE評(píng)估。在多重保障的情況下，當(dāng)PP-配置組件承載不同的SAR集時(shí)，PP-配置應(yīng)定義適用于這些組件定義的每個(gè)子TSF的SAR集。應(yīng)用于整個(gè)TOE的SAR集合稱為全局保障包。在可論證的符合或嚴(yán)格的符合情況下，全局保障包是適

52、用于每個(gè)PP-配置組件的SAR公共子集的超集。在精確符合性類型的情況下，全局保障包是PP-配置組件的SAR的最小公共集;不允許進(jìn)行增加。在PP-配置中，應(yīng)用于每個(gè)子TSF的SAR集合要么與相應(yīng)的PP-配置組件中定義的SAR集合相同，要么是該集合的。示例：一組SAR的一個(gè)例子是在GB/T 18336.5中預(yù)定義的EAL保障包。PP-配置應(yīng)提供保障基本原理，以證明可應(yīng)用的SAR集合與其組件中定義的SAR的一致性，特別是與公共資產(chǎn)相關(guān)的一致性。另外，當(dāng)SAR在PP-配置級(jí)別被增強(qiáng)，或者額外的EM/EA在PP-配置級(jí)別被指定時(shí)，保障基本原理會(huì)就EM/EA在PP-配置組件中的處理進(jìn)行討論。注：PP-配置

53、的保障基本原理必須將PP-模塊中給出的分析擴(kuò)展到PP-配置的所有組件。這通常是通過(guò)展開(kāi)PP-配置組件的SPD元素并分析適用于每個(gè)資產(chǎn)的SAR集合來(lái)完成的。（規(guī)范性）安全目標(biāo)和直接基本原理安全目標(biāo)規(guī)范本附錄的目標(biāo)和結(jié)構(gòu)本附錄的目標(biāo)是總結(jié) ST 的結(jié)構(gòu)和預(yù)期內(nèi)容。由于PP和ST有大量的重疊，本附錄重點(diǎn)討論P(yáng)P和ST之間的差異。ST和PP之間的相同部分見(jiàn)附錄B。注：本附錄沒(méi)有規(guī)定ST的評(píng)估要求。ST的評(píng)估準(zhǔn)則在GB/T 18336.3的ASE類中可以找到。本附錄由四個(gè)主要部分組成：如何使用 ST；D.2對(duì)這一部分進(jìn)行了總結(jié)，其中描述了如何使用ST，以及能用ST回答的一些問(wèn)題。ST應(yīng)包含；具體在D.3

54、 中有詳細(xì)說(shuō)明。介紹了ST的必備內(nèi)容、各內(nèi)容之間的相互關(guān)系并提供了示例。聲明對(duì)標(biāo)準(zhǔn)的符合性；D.5描述了ST作者如何聲明TOE滿足特定標(biāo)準(zhǔn)。直接基本原理ST。直接基本原理ST中，將SFR和可能的運(yùn)行環(huán)境安全目的直接映射到 SPD-元素。D.4適用于直接基本原理ST。使用 ST如何使用 ST一個(gè)典型的 ST承擔(dān)以下兩個(gè)角色:評(píng)估之前及評(píng)估期間，ST 指出“要評(píng)估什么”。在這個(gè)角色中，ST 作為開(kāi)發(fā)者和評(píng)估者就TOE準(zhǔn)確的安全屬性和評(píng)估范圍達(dá)成一致的基礎(chǔ)。技術(shù)正確性和完備性是這個(gè)角色的主要問(wèn)題。D.3.2和D.3.5描述了在這一角色中如何使用 ST。評(píng)估完成后，ST 指出“評(píng)估了什么”。在這個(gè)角色

55、中，ST 作為開(kāi)發(fā)者或TOE銷售者和TOE潛在消費(fèi)者之間達(dá)成一致的基礎(chǔ)。ST以抽象的方式描述了TOE準(zhǔn)確的安全屬性，因?yàn)門OE已經(jīng)通過(guò)了滿足ST要求的評(píng)估，潛在消費(fèi)者能夠依賴于該描述。易用性和易理解性是這個(gè)角色的主要問(wèn)題，D.2.3描述了在這一角色中如何使用ST。不使用ST的情況在眾多的角色中，ST不適用的一個(gè)角色是：完整的規(guī)范：ST被設(shè)計(jì)成一個(gè)安全規(guī)范，而不是一個(gè)完整的規(guī)范。除非與安全相關(guān)，否則諸如互操作性、物理尺寸和重量、所需電壓等屬性不應(yīng)成為 ST 的一部分。這意味著一般來(lái)說(shuō)，ST是完整規(guī)范的一部分，但ST本身并不是一個(gè)完整的規(guī)范。ST可回答的問(wèn)題評(píng)估完成后，ST 指明“評(píng)估了什么內(nèi)容”

56、。在這個(gè)角色中，ST是TOE開(kāi)發(fā)者或銷售者與TOE潛在消費(fèi)者之間達(dá)成協(xié)議的基礎(chǔ)。因此，ST可以回答以下問(wèn)題（以及更多問(wèn)題）：鑒于現(xiàn)有的ST/TOE數(shù)量眾多，我如何找到我需要的ST/TOE ?這個(gè)問(wèn)題由TOE概述來(lái)解決，它給出了一個(gè)簡(jiǎn)短的(幾段內(nèi)容)TOE概述；這個(gè)TOE是否適合我現(xiàn)有的IT基礎(chǔ)設(shè)施?TOE概述解決了這個(gè)問(wèn)題，它標(biāo)識(shí)了運(yùn)行TOE所需的主要硬件/固件/軟件元素；這個(gè)TOE是否適合我現(xiàn)有的運(yùn)行環(huán)境?這個(gè)問(wèn)題是由運(yùn)行環(huán)境的安全目的來(lái)解決的，它標(biāo)識(shí)出了TOE為了正常運(yùn)行而對(duì)運(yùn)行環(huán)境施加的所有約束；TOE有什么作用（感興趣的讀者）?這個(gè)問(wèn)題由TOE概述來(lái)解決，它給出了一個(gè)簡(jiǎn)短的(幾段內(nèi)容)

57、TOE概述；TOE有什么作用（潛在消費(fèi)者）?這個(gè)問(wèn)題由TOE描述來(lái)解決，它給出了一個(gè)更加詳細(xì)的(幾頁(yè)內(nèi)容) TOE概述；TOE有什么作用（技術(shù)上）?TOE概要規(guī)范解決了這個(gè)問(wèn)題，它提供了TOE使用機(jī)制的高層次描述；TOE有什么作用（專家）?SFR解決了這個(gè)問(wèn)題，它提供了一個(gè)抽象的高度技術(shù)性的描述，TOE概要規(guī)范提供了附加的細(xì)節(jié)描述；TOE 是否解決了我的政府/組織定義的問(wèn)題?如果您的政府/組織已經(jīng)通過(guò)定義包和/或PP和/或PP-配置來(lái)實(shí)現(xiàn)這個(gè)解決方案，那么可以在ST的符合性聲明部分找到答案，該部分列出了ST符合的所有包、PP和PP -配置；TOE 是否解決了我的安全問(wèn)題（專家）?TOE 面臨哪

58、些威脅？它執(zhí)行哪些OSP？它對(duì)運(yùn)行環(huán)境做了哪些假設(shè)？這些問(wèn)題由SPD解決；我可以對(duì)TOE給予多少信任?這可以在安全要求部分的SAR中找到，該部分提供了用于評(píng)估TOE的保障要求，因此建立了對(duì)TOE正確性進(jìn)行評(píng)估所能提供的信任度。ST 的強(qiáng)制性內(nèi)容引言ST有兩種類型。首先是“常規(guī)”ST，即包含D.3.3到D.3.7.2中描述的全部?jī)?nèi)容的ST。其次，在某些情況下，ST作者可能使用直接基本原理ST，其中沒(méi)有說(shuō)明TOE的安全目的。直接基本原理ST 以及使用它們的原因和環(huán)境在D.4中有詳細(xì)描述，本附錄的所有其他部分都假定 ST 具有完整的內(nèi)容。圖 D.1 顯示了GB/T 18336.3中給出的ST的內(nèi)容。

59、ST的內(nèi)容圖D.1也可以作為ST的結(jié)構(gòu)輪廓，但也允許使用其他結(jié)構(gòu)替代。例如，如果安全要求基本原理內(nèi)容特別多，可以將其包含在ST的附錄中，而不是包含在安全要求部分。ST的各部分以及其中的內(nèi)容簡(jiǎn)要總結(jié)如下，并在D.3.3至D.3.7.2中進(jìn)行了更詳細(xì)的解釋。ST 包含：ST介紹，包含三種不同抽象層面的TOE描述；符合性聲明，聲明ST與GB/T 18336.2和GB/T 18336.3相關(guān)版本的符合；聲明ST是否符合任何PP、PP-配置和/或包；如果是，則需標(biāo)識(shí)具體的PP、PP-配置和/或包、評(píng)估方法/活動(dòng)、及聲明的符合性類型；安全問(wèn)題定義，包括威脅、OSP和假設(shè)；安全目的，描述安全問(wèn)題的解決方案如

60、何通過(guò)TOE安全目的和TOE運(yùn)行環(huán)境安全目的實(shí)現(xiàn)；擴(kuò)展組件定義(可選)，其中可以定義新組件(即不包括在GB/T 18336.2或GB/T 18336.3中的組件)。需要這些新組件來(lái)定義擴(kuò)展功能要求和擴(kuò)展保障要求；安全要求，將TOE的安全目的轉(zhuǎn)化為標(biāo)準(zhǔn)化語(yǔ)言。標(biāo)準(zhǔn)化語(yǔ)言采用 SFR的形式。此外，本節(jié)定義了SAR；TOE概要規(guī)范，表明如何在TOE中實(shí)現(xiàn)SFR。ST介紹(ASE_INT)引言ST的介紹在三個(gè)抽象層面上對(duì)TOE進(jìn)行了敘述性描述：ST參考和TOE參考，提供了ST和對(duì)應(yīng)TOE的標(biāo)識(shí)；TOE概述，簡(jiǎn)要描述TOE；TOE描述，對(duì)TOE作更詳細(xì)地描述。ST參考和TOE參考ST參考和TOE參考有助