7任務來源《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強級）》于2008年成為國家標準，標準號為GB/T22186-2008。但隨著技術的發展，已有4年歷史的GB/T22186-2008在時效性、易用性、可操作性上還需提高。鑒于此，2012年，中國信息安全測評中心聯合北京多思科技工業園股份有限公司、清華大學向信安標委申請對GB/T22186進行修訂。根據國家標準化管理委員會2012年下達的國家標準制修訂計劃，國家標準《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強級）》修訂任務由中國信息安全測評中心負責主辦，標準計劃號為XXXXXXXXXX（全國信息安全標準化技術委員會2012年信息安全專項）。編制原則此標準將考慮智能卡芯片應用的各個安全方面，包括設計，使用、維護等環節，在數據保護，訪問控制，鑒別認證、安全管理、傳輸安全、密碼使用等方面制定相關要求，以確保產品的機密性、完整性和可用性，使該標準可以用于指導芯片產品的研制、開發、測試、評估及采購。編制過程中本著“規范、合理、系統、適用”的原則，注重先進性、規范性、實用性，也兼顧了與我國現有政策、法規與標準的執行范圍。該標準具有很好的時效性、連貫性、易于理解與操作的特點，將在產品的開發、測評和應用方面建立起內在一致的交互平臺，并作為指導產品研發與測評的基準。實現行業內各項目、地區之間安全標準的統一，規范國內智能卡芯片應用市場，確保產品有嚴格的、可控制的、規范的安全特性，提升我國智能卡芯片產品應用的總體安全水平。主要工作過程1）2012年12月成立了《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強級）》標準編制組。2）2013年1月至7月，標準編制組調研了國際上針對芯片的測評情況，充分借鑒了國外的成功經驗，并結合國內的實際情況，修訂出標準草案第一稿。3）2013年8月8日，安標委WG5工作組專家對標準進行了評審。會后，標準編制組按照專家提出的修改建議，對草案進行了修改，形成了標準草案第二稿。3）2013年10月10日，參加安標委WG5工作組專家評審會，《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強級）》草案通過了評審，并將標準名稱改為《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求》。會后，標準編制組根據評審的專家意見對草案進行修改并再次咨詢了王立福教授，形成并提交了標準草案第三稿。4）2013年10月23至31日,信安標委WG5工作組組織各成員單位對標準草案進行了投票，全體投票通過。5）2013年11月20日，信安標委WG5工作組組織集中對標準的內容和格式進行統一修改,并將名稱改為《信息安全技術具有中央處理器的IC卡芯片安全技術要求》。6）2013年11月21日，標準編制組根據投票意見對征求意見稿進行了修訂，形成征求意見稿。標準的主要內容GB/T22186為具有中央處理器的集成電路（IC）卡芯片類產品定義了一組與具體實現無關的、完整的、緊密關聯的最小安全要求集合；標準描述了集成電路（IC）卡芯片使用的環境和面臨的威脅；陳述相應保障級別的集成電路（IC）卡芯片應該達到的安全目的和必須滿足的安全技術要求和安全保障要求，以及它們之間的基本原理。國家標準GB/T18336-2008是等同采用國際標準ISO/IEC15408：2005而制定的。而ISO/IEC15408:2005核心為CCv2.3版的內容。目前，國際標準ISO/IEC15408已更新至2009版，其核心為CCv3.1版的內容，版本升級較大，其內容也有較大變化。國外PP的制定、產品的評估都已經依據新版本更新了相應內容。而目前國內GB/T22186還依據較低的CC版本，一直未更新。本項目將結合目前國內外最新技術的發展情況，來完善GB/T22186。本標準從以下幾方面描述了智能卡芯片的安全技術要求：描述智能卡芯片的基本結構，以及TOE的邊界定義。描述智能卡芯片的安全問題，包括智能卡芯片保護的資產、智能卡芯片在其運行環境中可能遇到的威脅、組織安全策略以及針對環境的假設。描述智能卡芯片的安全目的，包含了智能卡芯片應達到的安全目的和其環境應達到的安全目的。定義了智能卡芯片必須滿足的安全要求，包括智能卡芯片的信息技術安全功能要求和安全保障要求，以及組件之間依賴關系的基本原理。本標準主要在三個方面做了修改，具體內容如下。1）安全問題定義精簡原標準在安全問題定義中共設立了4個假設、16個威脅，及4項組織安全策略，本標準修訂過程采用威脅建模領域的國際成熟方法，對原標準進行了整合和精簡。本標準對智能IC卡芯片在應用階段面臨的威脅進行了標識。該方法從訪問接口和資產出發，以系統地建立威脅模型，使攻擊者從任何訪問渠道都無法獲得或篡改敏感信息或TOE功能，以保護資產的安全性。根據IC卡芯片的運行環境特點，攻擊者可從三個渠道訪問IC卡芯片。（1）常規的邏輯接口，即指令交互接口；（2）側信道接口，主要包括功耗、電磁和時耗等側信息的測量信道接口；（3）電路和電氣接口，主要包括芯片的供電及頻率輸入接口，以及硬件電路和存儲器等接口。為了更詳細地刻畫威脅的含義，威脅建模過程對每個威脅都將進行分解，直至后續分解需要引入TOE的詳細設計細節，或當前分解過程已滿足自證性為止。其中，對數據泄漏和篡改威脅進行分解，可得到以下的威脅模型圖。由于安全能力濫用威脅與數據泄露威脅的建模方式類似，在此不做詳細描述。圖1：數據泄漏威脅建模圖圖2：數據篡改威脅建模圖由于對每個威脅節點進行分解時會以事件分解的完備性為原則，因而每次分解的正確性都可以得到保證。在建模結束后，提取出所有的葉子節點，并對其進行綜合處理，就可標識出IC卡芯片面臨的主要威脅，具體為：生命周期功能濫用、信息泄露、故障利用、物理操作、以及邏輯攻擊。對這些威脅的具體描述可參見標準第5章。為了保障TOE的安全運行，TOE的開發、生產、交付和運行環境等也需要滿足一定的安全條件。為此，在組織安全策略描述了相應的規章制度、操作規程和指導性規則，同時還以假設的形式描述了TOE的外部數據管理及嵌入式軟件開發方面需要滿足的其他條件。按照上述方式，本草案共描述了6個威脅、2項組織安全策略和2個假設，因而對原有的安全問題定義進行了簡化，提高了標準的可理解性。2）安全功能要求組件變更為適應新的安全問題定義，標準修訂時對組件進行了更新，去除了一些不適用的組件，同時也結合實際情況添加了一部分組件。在這些新添加的組件中，FMT_LIM.1、FMT_LIM.2和FPT_TST.2是借鑒國外成熟的案例而擴展出來的。最后形成的組件如下表所示。表1：安全功能要求組件安全功能類安全功能要求組件編號備注EAL4+EAL5+EAL6+FCS類：密碼支持FCS_CKM.1密鑰生成1√√√FCS_COP.1密碼運算2√√√FDP類：用戶數據保護FDP_ACC.1子集訪問控制3√√√FDP_ACF.1基于安全屬性的訪問控制4√√√FDP_IFC.1子集信息流控制5√√√FDP_ITT.1基本內部傳送保護6√√√FDP_SDI.1存儲數據完整性監視7○√N/AFDP_SDI.2存儲數據完整性監視和反應8○○√FIA類：標識和鑒別FIA_UAU.1鑒別的時機9○√√FIA_AFL.1鑒別失敗處理10○√√FMT類：安全管理FMT_LIM.1能力受限11√√√FMT_LIM.2可用性受限12√√√FMT_MSA.1安全屬性的管理13√√√FMT_MSA.3靜態屬性初始化14√√√FMT_MTD.1TSF數據的管理15√√√FMT_SMF.1管理功能規范16√√√FMT_SMR.1安全角色17√√√FPT類：安全功能保護FPT_FLS.1失效即保持安全狀態18√√√FPT_ITT.1內部安全功能數據傳送的基本保護19√√√FPT_PHP.3物理攻擊抵抗20√√√FPT_TST.2子集TSF測試21○√√FRU：資源利用FRU_FLT.2受限容錯22√√√注：√代表在該保障級下，應選擇該組件；○代表在該保障級下，可選擇該組件；N/A代表在該保障級下，該組件不適用；當被評估的TOE不具備密鑰生成功能時，應不選取FCS_CKM.1組件。3）安全保障要求組件升級由于本標準的修訂是按最新的CC標準進行的，因此，此部分的內容按最新的保障要求進行了升級更新。但同時，與以前的版本相比，本草案在EAL4+的基礎上，增加了兩個保障級別EAL5+和EAL6+。對于安全保障要求組件的選取，本標準的EAL4+是在EAL4的基礎上將AVA_VAN.3增強為AVA_VAN.4；EAL5+是在EAL5的基礎上將ALC_DVS.1增強為ALC_DVS.2，AVA_VAN.4增強為AVA_VAN.5；EAL6+是在EAL6的基礎上增加ALC_FLR.1。本標準與GB/T22186—2008相比，主要變化如下：第2章將標準的引用文件更新為GB/T18336的最新版本；第3章對術語進行了更新描述；第4章重新描述了IC卡芯片的結構，并進行了更清晰的TOE范圍定義；第5章對安全問題定義進行了整合和精簡，共定義了6個威脅，2項組織安全策略和2個假設；第6章根據新的安全問題定義更新了對TOE安全目的的描述；第7章描述了兩個擴展族FMT_LIM和FPT_TST，分別用于處理對TOE的受限可用性以及自檢相關的安全功能要求，以便更合理的描述IC卡芯片的安全性；第8章對安全功能要求進行了調整，以細化新的安全目的描述，明確指出了EAL4+、EAL5+和EAL6+分別應滿足的安全功能要求；并對安全保證要求進行了調整，增加了EAL5+和EAL6+要求的保障組件；第9章對新的安全問題定義與安全目的、安全目的與安全要求之間的對應關系基本原理進行了更新描述，并分析了組件之間的依賴關系。與相關法律法規及國家有關規定、國內相關標準的關系本標準與現行法律、法規以及國家標準沒有沖突與矛盾的地方。有關問題的說明項目組在標準編制過程中，經歷了內部討論與論證、專家評審等過程，項目組在工作過程中遵循編制原則，對國內外現狀做了大量調研，完成了標準修訂工作。在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應答和處理，更好地完善了我們的標準編制工作。本項目是對國家推薦性標準GB/T22186-2008的修訂，建議修訂后的標準還是為國家推薦性標準。廢止現行有關標準的建議標準修訂完成后，標準的名稱將改為《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求》，并建議廢止GB/T22186-2008《信息安全技術具有中央處理器的集成電路