標準解讀

《GB/T 18336.3-2008 信息技術 安全技術 信息技術安全性評估準則 第3部分:安全保證要求》相比于其前版《GB/T 18336.3-2001》,主要在以下幾個方面進行了調整和更新:

  1. 與國際標準的接軌:2008版更緊密地遵循了國際通用標準ISO/IEC 15408的最新修訂內容,確保了國內標準與國際標準的一致性,有助于提升我國信息技術產品在全球市場上的互認度。

  2. 安全保證框架的完善:新版標準對安全保證框架(Security Assurance Framework)進行了細化和優化,增加了新的安全保證組件和評估方法,為評估者提供了更為詳細和系統的指導,以確保評估過程的全面性和深度。

  3. 評估保證級別(EAL)的調整:雖然EAL的總體架構保持不變,但2008版對各個評估保證級別的具體內容和要求進行了修訂,以更好地反映技術進步和安全需求的變化。這包括對特定EAL級別的功能和測試要求進行更新,使其更加符合實際安全場景的需求。

  4. 術語和定義的更新:為了提高標準的清晰度和適用性,新版標準對一些關鍵術語和定義進行了修訂或新增,以適應信息技術領域的發展和安全概念的演進。

  5. 增強的可操作性和實用性:2008版標準在表述上力求更加精確和明確,為實施安全性評估的機構和個人提供了更為具體的操作指南,便于理解和執行,提高了評估工作的效率和質量。

  6. 關注新興技術和威脅:鑒于信息技術快速發展,新版本標準在一定程度上考慮了當時新興的技術趨勢和安全威脅,如網絡服務、云計算的初步興起,雖然這些內容可能不如后續版本詳盡,但仍體現了標準對技術進步的響應。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現行標準GB/T 18336.3-2015
  • 2008-06-26 頒布
  • 2008-11-01 實施
?正版授權
GB/T 18336.3-2008信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第1頁
GB/T 18336.3-2008信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第2頁
GB/T 18336.3-2008信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第3頁
GB/T 18336.3-2008信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第4頁
GB/T 18336.3-2008信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求_第5頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

代替GB/T18336.3—2001

信息技術安全技術

信息技術安全性評估準則

第3部分:安全保證要求

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犈狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犐犜狊犲犮狌狉犻狋狔—

犘犪狉狋3:犛犲犮狌狉犻狋狔犪狊狊狌狉犪狀犮犲狉犲狇狌犻狉犲犿犲狀狋狊

(ISO/IEC154083:2005,IDT)

20080626發布20081101實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅴ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅵ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語、定義和縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4.1本部分的結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5GB/T18336保證范型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5.1GB/T18336基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

5.2保證方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2

5.3GB/T18336評估保證尺度!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6安全保證要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.1結構!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!3

6.2組件分類法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.3保護輪廓和安全目標評估準則類結構!!!!!!!!!!!!!!!!!!!!!!!!7

6.4本部分中術語的用法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

6.5保證分類!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!10

6.6保證類和族概況!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

7保護輪廓與安全目標評估準則!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.2保護輪廓準則概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

7.3安全目標準則概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

8APE類:保護輪廓評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.1TOE描述(APE_DES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

8.2安全環境(APE_ENV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.3PP引言(APE_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!17

8.4安全目的(APE_OBJ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.5IT安全要求(APE_REQ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!18

8.6明確陳述的IT安全要求(APE_SRE)!!!!!!!!!!!!!!!!!!!!!!!20

9ASE類:安全目標評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

9.1TOE描述(ASE_DES)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.2安全環境(ASE_ENV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!22

9.3ST引言(ASE_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

9.4安全目的(ASE_OBJ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

9.5PP聲明(ASE_PPC)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

9.6IT安全要求(ASE_REQ)!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

9.7明確陳述的IT安全要求(ASE_SRE)!!!!!!!!!!!!!!!!!!!!!!!!26

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

9.8TOE概要規范(ASE_TSS)!!!!!!!!!!!!!!!!!!!!!!!!!!!27

10評估保證級!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

10.1評估保證級(EAL)概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

10.2評估保證級細節!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

10.3評估保證級1(EAL1)———功能測試!!!!!!!!!!!!!!!!!!!!!!!!30

10.4評估保證級2(EAL2)———結構測試!!!!!!!!!!!!!!!!!!!!!!!!30

10.5評估保證級3(EAL3)———系統地測試和檢查!!!!!!!!!!!!!!!!!!!!31

10.6評估保證級4(EAL4)———系統地設計、測試和復查!!!!!!!!!!!!!!!!!32

10.7評估保證級5(EAL5)———半形式化設計和測試!!!!!!!!!!!!!!!!!!33

10.8評估保證級6(EAL6)———半形式化驗證的設計和測試!!!!!!!!!!!!!!!34

10.9評估保證級7(EAL7)———形式化驗證的設計和測試!!!!!!!!!!!!!!!!!36

11保證類、族和組件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12ACM類:配置管理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12.1CM自動化(ACM_AUT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!37

12.2CM能力(ACM_CAP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!39

12.3CM范圍(ACM_SCP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!45

13ADO類:交付和運行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

13.1交付(ADO_DEL)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!46

13.2安裝、生成和啟動(ADO_IGS)!!!!!!!!!!!!!!!!!!!!!!!!!!48

14ADV類:開發!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!49

14.1功能規范(ADV_FSP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!52

14.2高層設計(ADV_HLD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55

14.3實現表示(ADV_IMP)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!59

14.4TSF內部(ADV_INT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!62

14.5低層設計(ADV_LLD)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!65

14.6表示對應性(ADV_RCR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!67

14.7安全策略模型(ADV_SPM)!!!!!!!!!!!!!!!!!!!!!!!!!!!69

15AGD類:指導性文檔!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!71

15.1管理員指南(AGD_ADM)!!!!!!!!!!!!!!!!!!!!!!!!!!!!72

15.2用戶指南(AGD_USR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!73

16ALC類:生命周期支持!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!73

16.1開發安全(ALC_DVS)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!74

16.2缺陷糾正(ALC_FLR)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!75

16.3生命周期定義(ALC_LCD)!!!!!!!!!!!!!!!!!!!!!!!!!!!78

16.4工具和技術(ALC_TAT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!80

17ATE類:測試!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!81

17.1測試覆蓋(ATE_COV)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!82

17.2測試深度(ATE_DPT)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!84

17.3功能測試(ATE_FUN)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!86

17.4獨立測試(ATE_IND)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!88

18AVA類:脆弱性評定!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!90

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

18.1隱蔽信道分析(AVA_CCA)!!!!!!!!!!!!!!!!!!!!!!!!!!!91

18.2誤用(AVA_MSU)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!93

18.3TOE安全功能強度(AVA_SOF)!!!!!!!!!!!!!!!!!!!!!!!!!96

18.4脆弱性分析(AVA_VLA)!!!!!!!!!!!!!!!!!!!!!!!!!!!!97

附錄A(資料性附錄)保證組件依賴關系的交叉引用!!!!!!!!!!!!!!!!!!102

附錄B(資料性附錄)EAL和保證組件的交叉引用!!!!!!!!!!!!!!!!!!!106

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

前言

GB/T18336在總標題《信息技術安全技術信息技術安全性評估準則》下,由以下幾個部分

組成:

———第1部分:簡介和一般模型

———第2部分:安全功能要求

———第3部分:安全保證要求

本部分是GB/T18336的第3部分。

本部分等同采用國際標準ISO/IEC154083:2005《信息技術安全技術信息技術安全性評估準

則第3部分:安全保障要求》,僅有編輯性修改。

本部分代替GB/T18336.3—2001《信息技術安全技術信息技術安全性評估準則第3部分:

安全保障要求》。

本部分與GB/T18336.3—2001的主要差異如下:

1.刪除了GB/T18336.3—2001的“ISO/IEC前言”;

2.增加了“引言”;

3.減少了“AMA:保證維護”類;

4.對GB/T18336.3—2001附錄A中表A.1進行了調整。

本部分的附錄A和附錄B是資料性附錄。

本部分由全國信息安全標準化技術委員會提出和歸口。

本部分的主要起草單位:中國信息安全測評中心。

本部分主要起草人:吳世忠、李守鵬、王貴駟、黃元飛、陳曉樺、劉暉、劉春明、李斌、彭勇、付敏、劉楠、

徐長醒、簡余良、張利。

犌犅/犜18336.3—2008/犐犛犗/犐犈犆154083:2005

引言

本部分定義的安全保證組件是在一個保護輪廓(PP)或安全目標(ST)中表述安全保證要求的基礎。

這些要求建立了一種表述評估對象(TOE)保證要求的標準方法。本部分列出了一組保證組件、族

和類。本部分還定義了PP和ST的評估準則,提出了定義關于TOE保證等級的預定義GB/T18336

尺度的一些評估保證級別,稱為“評估保證級”(EAL)。

本部分的目標讀者主要有安全的IT系統和產品的客戶、開發者、評估者。GB/T18336.1第4章

提供了關于GB/T18336目標讀者的附加信息,以及目標讀者組如何使用GB/T18336的附加信息。

這些讀者組可以如下方式使用本部分:

a)客戶,在選取組件來表述保證要求,以滿足一個PP或ST提出的安全目的時,使用本部分。

GB/T18336.1的5.4條提供了關于安全目的和安全要求之間關系的更多詳細信息;

b)開發者,在構造TOE時響應實際的或預測的客戶安全要求,在解釋保證要求陳述和確定TOE

的保證方法時參考本部分;

c)評估者,在確定TOE的保證以及評

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

評論

0/150

提交評論