《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》

7《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》編制說明任務(wù)來源根據(jù)國家標準化管理委員會2012年下達的國家標準制修訂計劃，國家標準《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》由中國信息安全測評中心負責主辦，標準計劃號為20120542-T-469（全國信息安全標準化技術(shù)委員會2012年信息安全專項）。編制原則保持與國際接軌，在跟蹤分析和了解國際標準的發(fā)展情況下，積極采納國際上先進行的標準，吸收先進的思想。提高可讀性，在全面了解國際標準的精神基礎(chǔ)上，充分汲取我們對GB/T18336-2008版的認識，對專業(yè)技術(shù)概念進行本地化。充分考慮可操作性，對安全要素的定義賦值等，充分考慮在評估和開發(fā)過程中的可操作性。CC3.1的R1、R2和R3版分別于2006年9月、2007年9月和2009年7月，2012年9月CCDB又發(fā)布了CC3.1R4，而ISO/IEC15408:2009采納的是CC3.1R3版，鑒于GB/T18336是等同采用ISO的標準，為保持與國際標準同步，我們將ISO/IEC15408:2009即CC3.1R3作為本次GB/T18336-201X的修訂版。主要工作過程1）2012年10月成立了《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》標準編寫組。2）2012年10月-2013年7月，參照ISO/IEC15408:2008對《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》進行修訂，并在征求了北大教授王立福的意見后形成《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》草案（第一稿）。3）2013年8月8日，參加安標委WG5工作組專家評審會，《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》草案通過了評審。出席評審會的專家包括王立福（組長）、曲成義、趙戰(zhàn)生、肖京華、顧健，以及WG7秘書許玉娜。會后，根據(jù)評會專家意見進行修改（參見標準草案稿意見匯總處理表），形成并提交《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》草案（第二稿）。4)2013年8月12日至2013年8月18日,信安標委WG5工作組組織各成員單位對標準草案進行了投票，2013年8月26日至8月30日，根據(jù)投票意見對標準草案進行了修訂，形成征求意見稿。標準的主要內(nèi)容GB/T18336《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》（等同于ISO/IEC15408）（通常也簡稱通用準則——CC）已于2001年3月正式頒布，并于2008年發(fā)布了第二版。該標準是評估信息技術(shù)產(chǎn)品安全性的基礎(chǔ)準則。ISO/IEC15408是國際標準化組織統(tǒng)一現(xiàn)有多種評估準則努力的結(jié)果。其發(fā)展的主要階段為：1996年，六國七方（英國、加拿大、法國、德國、荷蘭、美國國家安全局和美國標準技術(shù)研究所）公布《信息技術(shù)安全性通用評估準則》（CC1.0版）；1999年12月，ISO接受CC2.1為國際標準ISO/IEC15408：1999標準，并正式頒布發(fā)行；2005年10月，ISO通過CC2.3為國際標準ISO/IEC15408：2005標準，并正式頒布發(fā)行；2009年12月，ISO通過CC3.1為國際標準ISO/IEC15408：2009標準，并正式頒布發(fā)行。CC定義了作為評估信息技術(shù)產(chǎn)品安全性的基礎(chǔ)準則，提出了目前國際上公認的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品安全行為的功能要求以及解決如何正確有效的實施這些功能的保證要求。功能和保證要求又以“類——族——組件”的結(jié)構(gòu)表述，組件作為安全要求的最小構(gòu)件塊，可以用于“保護輪廓”、“安全目標”和“包”的構(gòu)建，例如由保證組件構(gòu)成典型的包——“評估保證級”。另外，功能組件還是連接CC與傳統(tǒng)安全機制和服務(wù)的橋梁，以及解決CC同已有準則如TCSEC、ITSEC的協(xié)調(diào)關(guān)系，如功能組件構(gòu)成TCSEC的各級要求。CC特點體現(xiàn)在其結(jié)構(gòu)的開放性、表達方式的通用性以及結(jié)構(gòu)和表達方式的內(nèi)在完備性和實用性四個方面：在結(jié)構(gòu)的開放性方面，CC提出的安全功能要求和安全保證要求都可以在具體的“保護輪廓”和“安全目標”中進一步細化和擴展，如可以增加“備份和恢復(fù)”方面的功能要求或一些環(huán)境安全要求。這種開放式的結(jié)構(gòu)更適應(yīng)信息技術(shù)和信息安全技術(shù)的發(fā)展。通用性的特點，即給出通用的表達方式。如果用戶、開發(fā)者、評估者、認可者等目標讀者都使用CC的語言，互相之間就更容易理解溝通。如用戶使用CC的語言表述自己的安全需求，開發(fā)者就可以針對性地描述產(chǎn)品的安全性，評估者也更容易有效客觀地進行評估，并確保評估結(jié)果對用戶而言更容易理解。這種特點對規(guī)范實用方案的編寫和安全性測試評估都具有重要意義。這種特點也是在經(jīng)濟全球化發(fā)展、全球信息化發(fā)展的趨勢下，進行合格評定和評估結(jié)果國際互認的需要。CC的這種結(jié)構(gòu)和表達方式具有內(nèi)在完備性和實用性的特點，具體體現(xiàn)在“保護輪廓”和“安全目標”的編制上。“保護輪廓”主要用于表達一類產(chǎn)品的用戶需求，在標準化體系中可以作為安全技術(shù)類標準對待。其內(nèi)容主要包括：對該類產(chǎn)品的界定性描述，即確定需要保護的對象；確定安全環(huán)境，即指明安全問題——需要保護的資產(chǎn)、已知的威脅、用戶的組織安全策略；產(chǎn)品的安全目的，即對安全問題的相應(yīng)對策——技術(shù)性和非技術(shù)性措施；信息技術(shù)安全要求，包括功能要求、保證要求和環(huán)境安全要求，這些要求通過滿足安全目的，進一步提出具體在技術(shù)上如何解決安全問題；基本原理，指明安全要求對安全目的、安全目的對安全環(huán)境是充分且必要的；以及附加的補充說明信息?！氨Ｗo輪廓”編制，一方面解決了技術(shù)與真實客觀需求之間的內(nèi)在完備性；另一方面用戶通過分析所需要的產(chǎn)品面臨的安全問題，明確所需的安全策略，進而確定應(yīng)采取的安全措施，包括技術(shù)和管理上的措施，這樣就有助于提高安全保護的針對性、有效性?！鞍踩繕恕痹凇氨Ｗo輪廓”的基礎(chǔ)上，通過將安全要求進一步針對性具體化，解決了要求的具體實現(xiàn)。常見的實用方案就可以當成“安全目標”對待。通過“保護輪廓”和“安全目標”這兩種結(jié)構(gòu)，就便于將CC的安全性要求具體應(yīng)用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試、評估和信息系統(tǒng)的集成、運行、評估、管理中。ISO/IEC15408將使各個獨立的安全評估其結(jié)果具有可比性。這通過在安全評估時，提供一套針對信息技術(shù)（IT）產(chǎn)品安全功能及其保證措施的通用要求來實現(xiàn)。評估過程建立一個信任級別，表明該產(chǎn)品的安全功能及其保證措施都滿足這些要求。評估結(jié)果可以幫助用戶確定該IT產(chǎn)品對他們的預(yù)期應(yīng)用而言是否足夠安全及其使用帶來的固有安全風險是否可容忍。第1部分：簡介和一般模型，它定義了IT安全性評估的一般概念和原理，并提出了評估的一般模型。第2部分：安全功能要求，建立一系列功能組件，作為表述TOE功能要求的標準方法。第2部分列出了一系列功能組件、族和類。第3部分：安全保證要求，建立一系列保證組件，作為表述TOE保證要求的標準方法。與GB/T18336-2008的主要差異：1）GB/T18336.1-201X與GB/T18336.1-2008的主要差異如下：GB/T18336.1-201X增加了“2規(guī)范性引用文件”；GB/T18336.1-201X“3術(shù)語和定義”中增加了“3.2與ADV類相關(guān)的術(shù)語和定義”、“3.3與AGD類相關(guān)的術(shù)語和定義”、“3.4與ALC類相關(guān)的術(shù)語和定義”、“3.5與AVA類相關(guān)的術(shù)語和定義”、“3.6與ACO類相關(guān)的術(shù)語和定義”；GB/T18336.1-201X“5概述”中增加了“5.1TOE”；GB/T18336.1-201X中將本標準適用的“IT產(chǎn)品和系統(tǒng)”改為“IT產(chǎn)品”；GB/T18336.1-2008中的“5.1安全相關(guān)要素”、“5.2GB/T18336方法”調(diào)整為本部分的“6.2資產(chǎn)和對策”、“6.3評估”；刪除了GB/T18336.1-2008的“5.3安全概念”；GB/T18336.1-2008中的“5.4.1安全要求的表達”調(diào)整為本部分的“7剪裁安全要求”；刪除了GB/T18336.1-2008的“5.4.2評估類型”；GB/T18336.1-201X增加了“8保護輪廓和包”；GB/T18336.1-2008中的“6GB/T18336要求和評估結(jié)果”調(diào)整為本部分的“9評估結(jié)果”；GB/T18336.1-2008中的“附錄A保護輪廓規(guī)范”調(diào)整為本部分的“附錄B保護輪廓規(guī)范”，并增加了“B.11低保障的保護輪廓”、“B.12在PP中引用其他標準”；GB/T18336.1-2008中的“附錄B安全目標規(guī)范”調(diào)整為本部分的“附錄A安全目標規(guī)范”，并增加了“A.3使用ST”、“A.11ST可解答的問題”、“A.12低保障安全目標”、“A.13在ST中引用其他標準”；GB/T18336.1-2008的參考文獻調(diào)整為本部分的“附錄E參考書目”。2）GB/T18336.2-201X與GB/T18336.2-2008的主要差異如下：GB/T18336.2-201X中將“保證”（assurance）改為“保障”；GB/T18336.2-201X中將“輸出到TSF控制之外（FDP_ETC）”改為“從TOE輸出（FDP_ETC）”；GB/T18336.2-201X中將“從TSF控制之外輸入（FDP_ITC）”改為“從TOE之外輸入（FDP_ITC）”；刪除了GB/T18336.2-2008“FPT類：TSF保護”中的“底層抽象機測試（FPT_AMT）”、“引用仲裁（FPT_RVM）”、“域分離（FPT_SEP）”；GB/T18336.2-201X“FPT類：TSF保護”中增加了“外部實體測試（FPT_TEE）”；GB/T18336.2-201X中將“會話鎖定（FTA_SSL）”改為“會話鎖定和終止（FTA_SSL）”；GB/T18336.2-201X中將“門限值”改為“臨界值”；GB/T18336.2-201X中將“介導(dǎo)”改為“促成”。3）GB/T18336.3-201X與GB/T18336.3-2008的主要差異如下：GB/T18336.3-201X中將“保證”（assurance）改為“保障”；GB/T18336.3-201X中將“6安全保證要求”改為“6安全保障組件”；刪除了GB/T18336.3-2008中的“6.3保護輪廓和安全目標評估準則類結(jié)構(gòu)”、“6.4本部分中術(shù)語的用法”、“6.5保證分類”、“6.6保證類和族概況”；GB/T18336.3-2008中的“6.1.5EAL結(jié)構(gòu)”調(diào)整為本部分的“6.2評估保障級結(jié)構(gòu)”；GB/T18336.3-201X增加了“6.3組合保障包結(jié)構(gòu)”；刪除了GB/T18336.3-2008中的“7保護輪廓與安全目標評估準則”、“11保證類、族和組件”；GB/T18336.3-201X增加了“8組合保障包”；刪除了GB/T18336.3-2008中的“8.1TOE描述”；GB/T18336.3-201X增加了“9.2一致性聲明”；GB/T18336.3-2008中的“8.2安全環(huán)境”、“8.6明確陳述的IT安全要求”改為本部分的“9.3安全問題定義”、“9.5擴展組件定義”；刪除了GB/T18336.3-2008中的“9.1TOE描述”、“9.5PP聲明”；GB/T18336.3-201X增加了“10.2一致性聲明”；GB/T18336.3-2008中的“9.2安全環(huán)境”、“9.7明確陳述的IT安全要求”改為本部分的“10.3安全問題定義”、“10.5擴展組件定義”；刪除了GB/T18336.3-2008“ADV類：開發(fā)”中的“高層設(shè)計（ADV_HLD）”、“低層設(shè)計(ADV_LLD)”、“表示對應(yīng)性(ADV_RCR)”；GB/T18336.3-201X“ADV類：開發(fā)”中增加了“安全架構(gòu)（ADV_ARC）”、“TOE設(shè)計（ADV_TDS）”；GB/T18336.3-2008中AGD類的“管理員指南(AGD_ADM)”和“用戶指南(AGD_USR)”調(diào)整為本部分的“操作用戶指南（AGD_OPE）”和“準備程序（AGD_PRE）”；GB/T18336.3-2008中將ACM類的“CM能力(ACM_CAP)”、“CM范圍(ACM_SCP)”，ADO類的“交付(ADO_DEL)”合到了ALC類中；刪除了GB/T18336.3-2008“ACM類：配置管理”中的“CM自動化（ACM_AUT）”；刪除了GB/T18336.3-2008“ADO類：交付和運行”中的“安裝、生成和啟動(ADO_IGS)”；GB/T18336.3-2008中將“測試覆蓋(ATE_COV)”改為“覆蓋（ATE_COV）”，將“測試深度(ATE_DPT)”改為“深度（ATE_DPT）”；刪除了GB/T18336.3-2008“AVA類：脆弱性評定”中的“隱蔽信道分析(AVA_CCA)”、“誤用(AVA_MSU)”、“TOE安全功能強度(AVASOF)”；GB/T18336.3-2008中將“脆弱性分析(AVA_VLA)”改為“脆弱性分析（AVA_VAN）”；GB/T18336.3-201X增加了“16ACO類：組合”；GB/