ICS35.040L80中華人民共和國國家標準化指導性技術文件GB/Z20283—2006信息安全技術保護輪廊和安全目標的產生指南Informationsecuritytechnology-GuidefortheproduetionofProtectionProfilesandSecurityTargets(ISO/IECTR15446:2004,InformationtechnologySecuritytechniques--GuidefortheproductionofProtectionProfilesandSeeurityTargets.NEQ)2006-05-31發布中華人民共和國國家質量監督檢驗檢疫總局愛布中國國家標準化管理委員會

GB/Z20283-2006前言引言1范圍2規范性引用文件術語和定義4PP和ST概述4.14.2PP和ST內容4.3PP與ST的關系4.4PP或ST的目標讀者4.5PP和ST的開發過程4.6PP族·…·……………·……·……·5PP和ST的描述部分5.1簡介“····5.2PP和ST的描述部分6「OE安全環境………；6.1簡介6.2識別和確定假設6.3識別和確定威脅6.4識別和確定組織安全策略7.2確定TOE安全目的7.3確定環境安全目的….1288安全要求……….B8.2確定PP或ST中的安全功能要求確定PP或ST中的保證要求8.3208.4環境安全要求……·TOE概要規范8確定1T安全功能9.29.3確定安全機制·.4確定保證措施·….10PP聲明………10.1簡介10.2PP引用10.3：PP裁剪

GB/Z20283-200610.4PP附件11PP和ST基本原理2511.2PP和ST中的安全目的基本原理11.3PP和ST中的安全要求的基本原理12：復合及部件TOE的PP與ST3112.2復合TOE12.3部件TOE3813功能和保證包13.1背景·……3413.2確定功能包34確定保證包13.335附錄A(資料性附錄）指南核查表36A.1簡介30A.2PP和ST簡介36「OE描述……….A.33A.4定義TOE安全環境·36A.5定義安全目的定IT安全要求……….A.6產生TOE概要規范A.7A.8構建PP基本原理……….A.9構建ST基本原理防火墻PP與ST示例附錄B(資料性附錄）PP與ST簡介B.1TOE描述B.2安全環境B.3B.4安全目的5B.5JT安全要求40TOE概要規范B.6B.7PP聲明·…B.8PP基本原理42B.9ST基本原理43附錄C(資料性附錄）數據庫PP示例44C.1簡介·44安全環境℃.244℃.3安全目的JT安全要求C.445C.5PP基本原理參考文獻

GB/Z20283—2006本指導性技術文件與ISO/IECTR15446：2004《信息技術安全技術保護輪廊和安全目標產生指南》的一致性程度為非等效差異包括：根據（B/T1.1的要求對第1章至第3章的內容重新作了編排：規范性引用文件中將ISO/IEC15408:1999改為GB/T18336—2001.并對指導性技術文件中引用的GB/T18336－2001的章條編號進行了一致性處理：C刪除了ISO/IECTR15446:2004中的第5章，以及資料性附錄B（一般事例)、附錄C(密碼功能說明)和附錄F(可信第三方保護輪魔示例)。本指導性技術文件的附錄A、附錄B、附錄C是資料性附錄。本指導性技術文件由全國信息安全標準化技術委員會提出并歸口本指導性技術文件起草單位：中國信息安全產品測評認證中心。本指導性技術文件主要起草人：李守鵬、徐長醒、李紅陽、劉威鵬、劉暉、付敏、簡余良、周瑾

GB/Z20283—2006GB/T18336-2001《信息技術安全技術信息技術安全性評估準則》基于風險管理的思想,使用保護輪廊(ProtectionProfile.PP)和安全目標（SecurityTarget.ST)構成靈活科學的安全測評框架,已成為表述安全的事實上的國際語言。本指導性技術文件的目的是幫助開發者、使用者、測評者等更規范更詳細地表述安全目標和安全要求。本指導性技術文件是GB/T18336—2001的輔助性指南文件,為保護輪廊或安全目標各部分內容的描述及其相互關系提供了技術指南本指導性技術文件的使用者應該熟悉（B/T18336—2001。本指導性技術文件不解決諸如PP注冊以及PP中涉及知識產權保護的間題(如：專利)。

GB/Z20283—2006信息安全技術保護輪廊和安全目標的產生指南1范圍本指導性技術文件描述保護輪廊（PP)和安全目標（ST）中的內容及其各部分內容之間的相互關系，并在附錄中給出了若干實例.供感興趣的讀者參考。本指導性技術文件給出PP和ST文檔內容的概述、示例目錄清單和目標用戶最關心的其他內容并陳述了PP與ST之間的關系.以及PP和ST的開發編寫過程，為使用者編寫PP和ST提供指導。規范性引用文件下列文件中的有關條款通過本指導性技術文件的引用而成為本指導性技術文件的條款。凡注明日期的引用文件,其隨后所有的修改單(不包括勒誤的內容)或修訂版均不適用于本指導性技術文件，然而，鼓勵根據本指導性技術文件達成協議的各方研究是否可使用這些文件最新版本。凡是不注日期的引用文件.其最新版本適用于本指導性技術文件。GB/T5271.8-2001信息技術詞匯第8部分：安全（idtISO/IEC2382-8:1998)GB/T18336.1—2001信息技術安全技術信息技術安全性評估準則第1部分：簡介和一般模型（idtISO/IEC15408.1:1999）GB/T18336.2-2001信息技術安全技術信息技術安全性評估準則第2部分：安全功能要求(idtISO/IEC15408-2:1999)GB/T18336.3-2001信息技術安安全技術信息技術安全性評估準則第3部分：安全保證要求（idtISO/IEC15408-3:1999)3術語和定義GB/T5271.8-2001.GB/T18336.1-2001、GB/T18336.2-2001和GB/T18336.3-2001確立的術語、定義和縮略語適用于本指導性技術文件。4PP和ST概達4.1簡介本章提供PP和ST的概述,總結它們的內容.并討論兩者之間的關系,以及文檔開發的流程，、參見GB/T18336.1-2001的附錄B和附錄C.4.2PP和ST內容GB/T18336.1-2001的圖B.1中描述了PP中所要求的內容條目。表1是PP推薦結構的示例目錄清單。GB/T18336.1—2001的圖C.1中描述了ST所要求的內容條目。表2是ST推薦結構的示例目錄清單。PP和ST的讀者應該很容易地找到所需要的內容在PP或ST中