ICS.35.040L70中華人民共和國國家標準GB/T18336.1-2001idtISO/IEC15408-1:1999信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurityPart1:Introductionandgeneralmodel2001-03-08發布2001-12-01實施國家質量技術監督局發布

中華人民共和國國家標準信息技術安全技術信息技術安全性評估準則第1部分：簡介和一般模型GB/T18336.1-2001中中國標準出版社出版發行北京西城區復興門外三里河北街16號郵政編碼：100045htp://電話：63787337637874472001年10月第一版2004年11月電子版制作書號：155066·1-17785版權專有侵權必究舉報電話：（010）68533533

GB/T18336.1-2001次前言ISO/IEC前言1范圍2引用標準3定義3.1通用縮略語3.2術語表的范圍3.3術語表…4概述4.1引言4.2CC的目標讀者4.3評估上下文4.4CCC的文檔組織5-般模型·5.1安全上下文5.2CC方法5.3安全概念……5.4CC描述材料5.5評估類型………5.6保證的維護6通用準則要求和評估結果·6.2PP(保護輪廊）和ST（安全目標）的要求6.3TOE內的要求……6.4評評估結果的聲明……6.5TOE評估結果的應用…………·附錄A(提示的附錄）通用準則項目A1通用準則項目的背景………A2通用準則的開發A3通用準則項目發起組織…附錄B(標準的附錄）保護輪廊規范B1B2保護輪席的內容附錄C(標準的附錄）安全目標規范CI

GB/T18336.1-2001C2安全目標的內容附錄D(提示的附錄））參考資料圖4.1評估上下文………圖5.1安全概念和關系圖5.2評估概念和關系圖5.3評估對象開發模型圖5.4「OE評估過程·圖5.5要求和規范的導出圖5.6要求的組織和結構圖5.7安全要求的應用圖6.1評估結果……….圖6.2TOE評估結果的應用圖Bl保護輪席內容……圖C1安全目標內容…………表4.1CC使用指南

GB/T18336.1-2001本標準等同采用國際標準ISO/IEC15408-1:1999《信息技術安全技術信息技術安全性評估準第1部分：簡介和一般模型》。本標準介紹了信息技術安全性評估的基本概念并給出了信息技術安全性評估的一般模型.并在附錄B和附錄C分別介紹了“保護輪鹿“和"安全目標"GB/T18336在總標題《信息技術：安全技術信息技術安全性評估準則》下.由以下幾個部分組成第1部分：簡介和一般模型第2部分：安全功能要求-第3部分：安全保證要求本標準的附錄八和附錄D是提示的附錄。本標準的附錄B和附錄C是標準的附錄。本標準由國家質量技術監督局提出本標準由全國信息技術標準化技術委員會歸口。本標準由中國國家信息安全測評認證中心、信息產業部電子第30研究所、國家信息中心、復旦大學負責起草本標準主要起草人：吳世忠、龔奇敏、陳曉樺、李守鵬、羅建中、方關寶、李鶴田、吳亞飛、雷利民、葉紅、吳承榮、黃元飛、任衛紅、崔玉華。本標準委托中國國家信息安全測評認證中心負責解釋

GB/T18336.1-2001ISO/IEC前言ISO(國際標準化組織)和IEC(國際電工委員會)形成了全世界標準化的專門體系。作為ISO或IEC成員的國家機構,通過相應組織所建立的涉及技術活動特定領域的委員會參加國際標準的制定.ISO和IEC技術委員會在共同關心的領域里合作，其他與ISO和IEC有聯系的政府和非政府的國際組織也參加了該項工作。國際標準的起草符合ISO/IEC導則第3部分的原則。在信息技術領域,ISO和IEC已經建立了一個聯合技術委員會-ISO/IECJTCl。聯合技術委員會采納的國際標準草案分發給國家機構投票表決。作為國際標準公開發表·需要至少75%的國家機構投贊成票。國際標準ISO/IEC15408-1是由聯合技術委員會ISO/IECJTCI(信息技術)與通用準則項目發起組織合作產生的。與ISO/IEC15408-1同樣的文本由通用準則項目發起組織作為《信息技術安全性評估通用準則》發表。有關通用準則項目的更多信息和發起組織的聯系信息由ISO/IEC15408-1的附錄A提供。ISO/IEC15408在“信息技術安全技術信息技術安全性評估準則”的總標題下，由以下幾部分組成：第1部分：簡介和一般模型第2部分：安全功能要求第3部分：安全保證要求附錄B和附錄C構成ISO/IEC15408本部分的規范部分.附錄A和附錄D僅供參考。以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分：在ISO/IEC15408-1附錄A中標明的七個政府組織(總稱為通用準則發起組織),作為《信息技術安全性評估通用準則》第1至第3部分（稱為"CC")版權的共同所有者，在此特許ISO/IEC在開發ISO)IEC15408國際標準中,非排他性地使用CC。但是.通用準則發起組織在他們認為適當時保留對CC的使用、拷貝、分發以及修改的權利。

中華人民共和國國家標準信息技術安全技術信息技術安全性評估準則GB/T18336.1-2001第1部分：簡介和-1一般模型idtIso/IEC15408-1:1999Informationtechnology--Securitytechniques-EvaluationcriteriaforITsecurity-Part1:lntroductionandgeneralmodel范圍GB/T18336定義了作為評估信息技術產品和系統安全特性的基礎準則，由于歷史和連續性的原因，仍叫通用準則（CC-CommonCriteria))。通過建立這樣的通用準則庫，使信息技術安全評估的結果能被更多的人理解。針對在安全性評估過程中信息技術產品和系統的安全功能及相應的保證措施,CC提供了一組通用要求，使各種獨立的安全評估結果具有可比性。評估過程為滿足這些要求的產品和系統的安全功能以及相應的保證措施確定一個可信級別。評估結果可以幫助用戶確定信息技術產品和系統對他們的應用而言是否足夠安全，以及在使用中隱藏的安全風險是否可以容忍。CC可用于具有信息技術安全功能的產品和系統的開發與采購指南。在評估過程中.這樣的產品和系統被稱為評估對象（TOETargetofEvaluation），如：操作系統、計算機網絡、分布式系統以及應用等。（C涉及信息保護，以避免未經授權的信息泄露、修改和無法使用,與此對應的保護類型通常分別稱之為保密性、完整性和可用性。除上述三個方面外,CC還適用于信息安全的其他方面。CC重點考慮人為的信息威脅，無論其是否是惡意的。但CC也可用于非人為因素導致的威脅。此外.CC還可適用于其他信息技術領域·但對嚴格意義上信息技術安全之外的領域,CC不做承諾（C適用于硬件、固件和軟件實現的信息技術安全措施,當一些特定的評估僅適用于某些實現方法時.這一點將在相關的準則說明中注明。某些內容因涉及特殊的專業技術或僅是信息技術安全的外圍技術，不在CC的范圍內.例如：a）CC不包括那些與信息技術安全措施沒有直接關聯的屬于行政性管理安全措施的安全評估準則。但是，應該認識到TOE安全的重要部分是通過諸如組織的、個人的、物理的、程序的監控等行政性管理安全措施來實現的。當行政性管理安全措施影響到信息技術安全措施對抗確定威脅的能力時,這類管理安全措施在TOE的運行環境中被認為是TOE安全使用的前提條件。b）對于信息技術安全性的物理方面(諸如電磁輻射控制)的評估，雖然CC的許多概念是適用的，但