[PDF] GB/T 18336.3-2015 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 18336.3-2015 | 500 | GB/T 18336.3-2015 | 9秒内发货PDF | 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 18336.3-2015 (GB/T18336.3-2015) |
| 中文名称 | 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件 |
| 英文名称 | Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance components |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 223,217 |
| 发布日期 | 2015-05-15 |
| 实施日期 | 2016-01-01 |
| 旧标准 (被替代) | GB/T 18336.3-2008 |
| 引用标准 | ISO/IEC 15408-1; ISO/IEC 15408-2 |
| 采用标准 | ISO/IEC 15408-3-2008, IDT |
| 标准依据 | 国家标准公告2015年第15号 |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
| 范围 | GB/T 18336的本部分定义了保障要求, 包括:评估保障级(EAI)----为度量部件TOE的保障定义了一种尺度;组合保障包(CAP)----为度量组合TOE的保障提供了一种尺度;组成保障级和保障包的单个保障组件;PP和ST的评估准则。 |
GB/T 18336.3-2015
Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance components
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 18336.3-2008
信息技术 安全技术
信息技术安全评估准则
第3部分:安全保障组件
2015-05-15发布
2016-01-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅴ
引言 Ⅶ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 1
4.1 本部分的结构 1
5 保障范型 2
5.1 ISO/IEC 15408的基本原则 2
5.2 保障方法 2
5.3 ISO/IEC 15408评估保障尺度 3
6 安全保障组件 3
6.1 安全保障类、族和组件结构 3
6.2 评估保障级结构 7
6.3 组合保障包结构 8
7 评估保障级 10
7.1 评估保障级(EAL)概述 11
7.2 评估保障级细节 12
7.3 评估保障级1(EAL1)---功能测试 12
7.4 评估保障级2(EAL2)---结构测试 13
7.5 评估保障级3(EAL3)---系统地测试和检查 14
7.6 评估保障级4(EAL4)---系统地设计、测试和复查 15
7.7 评估保障级5(EAL5)---半形式化设计和测试 17
7.8 评估保障级6(EAL6)---半形式化验证的设计和测试 18
7.9 评估保障级7(EAL7)---形式化验证的设计和测试 19
8 组合保障包 21
8.1 组合保障包(CAP)概述 21
8.2 组合保障包细节 22
8.3 组合保障级A(CAP-A)-结构组合 22
8.4 组合保障级别B(CAP-B)-系统组合 23
8.5 组合保障级C(CAP-C)-系统组合、测试和复查 24
9 APE类:保护轮廓评估 25
9.1 PP引言(APE_INT) 26
9.2 符合性声明(APE_CCL) 26
9.3 安全问题定义(APE_SPD) 28
9.4 安全目的(APE_OBJ) 29
9.5 扩展组件定义(APE_ECD) 30
9.6 安全要求(APE_REQ) 31
10 ASE类:安全目标评估 33
10.1 ST引言(ASE_INT) 34
10.2 符合性声明(ASE_CCL) 35
10.3 安全问题定义(ASE_SPD) 36
10.4 安全目的(ASE_OBJ) 37
10.5 扩展组件定义(ASE_ECD) 38
10.6 安全要求(ASE_REQ) 39
10.7 TOE概要规范(ASE_TSS) 41
11 ADV类:开发 43
11.1 安全架构(ADV_ARC) 46
11.2 功能规范(ADV_FSP) 48
11.3 实现表示(ADV_IMP) 56
11.4 TSF内部(ADV_INT) 58
11.5 安全策略模型(ADV_SPM) 61
11.6 TOE设计(ADV_TDS) 63
12 AGD类:指导性文档 71
12.1 操作用户指南(AGD_OPE) 71
12.2 准备程序(AGD_PRE) 73
13 ALC类:生命周期支持 74
13.1 CM能力(ALC_CMC) 75
13.2 CM范围(ALC_CMS) 82
13.3 交付(ALC_DEL) 86
13.4 开发安全(ALC_DVS) 87
13.5 缺陷纠正(ALC_FLR) 89
13.6 生命周期定义(ALC_LCD) 92
13.7 工具和技术(ALC_TAT) 94
14 ATE类:测试 97
14.1 覆盖(ATE_COV) 98
14.2 深度(ATE_DPT) 100
14.3 功能测试(ATE_FUN) 103
14.4 独立测试(ATE_IND) 105
15 AVA类:脆弱性评定 108
15.1 应用注释 108
15.2 脆弱性分析(AVA_VAN) 109
16 ACO类:组合 113
16.1 组合基本原理(ACO_COR) 116
16.2 开发证据(ACO_DEV) 116
16.3 依赖部件的依赖性(ACO_REL) 119
16.4 组合TOE测试(ACO_CTT) 121
16.5 组合脆弱性分析(ACO_VUL) 123
附录A(资料性附录) 开发(ADV) 127
附录B(资料性附录) 组合(ACO) 140
附录C(资料性附录) 保障组件依赖关系的交叉引用 145
附录D(资料性附录) PP和保障组件的交叉引用 150
附录E(资料性附录) EAL和保障组件的交叉引用 151
附录F(资料性附录) CAP和保障组件的交叉引用 152
前言
GB/T 18336《信息技术 安全技术 信息技术安全评估准则》分为以下三部分:
---第1部分:简介和一般模型;
---第2部分:安全功能组件;
---第3部分:安全保障组件。
本部分是GB/T 18336的第3部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GB/T 18336.3-2008《信息技术 安全技术 信息技术安全评估准则 第3部分:安
全保证要求》。
本部分与GB/T 18336.3-2008的主要差异如下:
---将“保证”(assurance)改为“保障”;
---将“6 安全保证要求”改为“6 安全保障组件”;
---删除了“6.3 保护轮廓和安全目标评估准则类结构”、“6.4 本部分中术语的用法”、“6.5 保
证分类”、“6.6 保证类和族概况”;
---将“6.1.5 EAL结构”调整为本部分的“6.2 评估保障级结构”;
---增加了“6.3 组合保障包结构”;
---删除了“7 保护轮廓与安全目标评估准则”、“11 保证类、族和组件”;
---增加了“8 组合保障包”;
---删除了“8.1 TOE描述”;
---增加了“9.2 符合性声明”;
---将“8.2 安全环境”、“8.6 明确陈述的IT安全要求”改为本部分的“9.3 安全问题定义”、
“9.5 扩展组件定义”;
---删除了“9.1 TOE描述”、“9.5 PP声明”;
---增加了“10.2 符合性声明”;
---将“9.2 安全环境”、“9.7 明确陈述的IT安全要求”改为本部分的“10.3 安全问题定义”、
“10.5 扩展组件定义”;
---删除了“ADV类:开发”中的“高层设计(ADV_HLD)”、“低层设计(ADV_LLD)”、“表示对应
性(ADV_RCR)”;
---在“ADV类:开发”中增加了“安全架构(ADV_ARC)”、“TOE设计(ADV_TDS)”;
---将AGD类的“管理员指南(AGD_ADM)”和“用户指南(AGD_USR)”调整为本部分的“操作用
户指南(AGD_OPE)”和“准备程序(AGD_PRE)”;
---将ACM类的“CM能力(ACM_CAP)”、“CM 范围(ACM_SCP)”,ADO类的“交付(ADO_DEL)”
合到了ALC类中;
---删除了“ACM类:配置管理”中的“CM自动化(ACM_AUT)”;
---删除了“ADO类:交付和运行”中的“安装、生成和启动(ADO_IGS)”;
---将“测试覆盖(ATE_COV)”改为“覆盖(ATE_COV)”,将“测试深度(ATE_DPT)”改为“深度
(ATE_DPT)”;
---删除了“AVA类:脆弱性评定”中的“隐蔽信道分析(AVA_CCA)”、“误用(AVA_MSU)”、
“TOE安全功能强度(AVASOF)”;
---将“脆弱性分析(AVA_VLA)”改为“脆弱性分析(AVA_VAN)”;
---增加了“16 ACO类:组合”;
---增加了“附录A 开发(ADV)”、“附录B 组合(ACO)”、“附录D PP和保障组件的交叉引
用”、“附录F CAP和保障组件的交叉引用”;
---将“附录A 保证组件依赖关系的交叉引用”调整为“附录C 保障组件依赖关系的交叉引
用”,将“附录B EAL和保证组件的交叉引用”调整为“附录E EAL和保障组件的交叉
引用”。
本部分使用翻译法等同采用ISO/IEC 15408-3:2008《信息技术 安全技术 信息技术安全评估准
则 第3部分:安全保障组件》。
与本部分中规范性引用的国际文件有一致性对应关系的我国文件如下:
---GB/T 18336.1 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型
(GB/T 18336.1-2015,ISO/IEC 15408-1:2009,IDT)
---GB/T 18336.2 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件
(GB/T 18336.2-2015,ISO/IEC 15408-2:2008,IDT)
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本部分起草单位:中国信息安全测评中心、信息产业信息安全测评中心、公安部第三研究所。
本部分主要起草人:张翀斌、郭颖、石竑松、毕海英、张宝峰、高金萍、王峰、杨永生、李国俊、董晶晶、
谢蒂、王鸿娴、张怡、顾健、邱梓华、宋好好、陈妍、杨元原、许源、饶华一、吴毓书、毛军捷。
本部分所代替标准的历次版本发布情况为:
---GB/T 18336.3-2001
---GB/T 18336.3-2008
引 言
本部分定义的安全保障组件是在保护轮廓(PP)或安全目标(ST)中描述安全保障要求的基础。
这些要求建立了一种描述评估对象(TOE)保障要求的标准方法。本部分列出了一组保障组件、族
和类,还定义了评估PP和ST的准则,定义了评估保障级别(EAL)来描述ISO/IEC 15408中预定义的
用于评定TOE保障要求满足情况的尺度。
本部分的目标读者主要包括安全IT产品的消费者、开发者和评估者。ISO/IEC 15408-1提供了关
于ISO/IEC 15408的目标读者,以及目标读者群体如何使用ISO/IEC 15408的补充信息。这些读者群
体可以如下方式使用本部分:
a) 消费者,在选取组件描述保障要求,以满足PP或ST中提出的安全目的,以及确定所需的安全
保障级别时都可使用本部分;
b) 开发者,在构造TOE以响应实际的或预想的消费者安全要求时,可参考本部分以解释保障要
求陈述并确定TOE的保障方法;
c) 评估者,在确定TOE的保障级别以及评估PP和ST时,使用本部分所定义的保障要求作为评
估准则的强制性陈述。
信息技术 安全技术
信息技术安全评估准则
第3部分:安全保障组件
1 范围
GB/T 18336的本部分定义了保障要求,包括:评估保障级(EAL)---为度量部件TOE的保障定
义了一种尺度;组合保障包(CAP)---为度量组合TOE的保障提供了一种尺度;组成保障级和保障包
的单个保障组件;PP和ST的评估准则。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO/IEC 15408-1 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型
generalmodel)
ISO/IEC 15408-2 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件
3 术语和定义
ISO/IEC 15408-1中界定的术语、定义和缩略语适用于本文件。
4 概述
4.1 本部分的结构
第5章描述了在本部分的安全保障要求中使用的范型。
第6章描述了保障类、族、组件和评估保障级的表示结构以及它们之间的关系,包括组合保障包的
结构。同时还刻画了第9章到第16章中陈述的保障类和族的特征。
第7章给出了评估保障级(EAL)的详尽定义。
第8章给出了组合保障包(CAP)的详尽定义。
第9章到第16章给出了本部分保障类的详尽定义。
附录A给出了开发类相关概念的进一步解释和实例。
附录B给出了组合TOE评估和组合类概念的解释。
附录C给出了保障组件之间依赖关系的总结。
附录D给出了PP和族以及APE类组件之间的交叉引用。
附录E给出了评估保障级(EAL)和保障组件之间的交叉引用。
附录F给出了组合保障包(CAP)和保障组件之间的交叉引用。
5 保障范型
本章旨在阐述支撑ISO/IEC 15408保障方法的理念。通过对本章的认识将使读者理解隐含在本
部分保障要求中的基本原理。
5.1 ISO/IEC 15408的基本原则
ISO/IEC 15408的基本原则是,安全威胁和组织安全策略承诺应描述清楚,并且所提出的安全措施
应可论证足以达到所期望的安全目的。
进一步地说,应采取措施来减少出现脆弱性的可能性,降低使用(有意利用或者无意触发)脆弱性的
能力,以及由此导致的破坏程度。另外,还应采取一些措施,以便于后续标识脆弱性,消除、减轻脆弱性
的影响,并/或在脆弱性被利用或触发时进行通告。
5.2 保障方法
ISO/IEC 15408的理念是,通过对将被信任的IT产品进行评估(主动调查)来提供保障。评估是提
供保障的传统手段,并且是先前评估准则文档的基础。为了与现行的方法保持一致,ISO/IEC 15408采
用了相同的理念。ISO/IEC 15408建议由专业的评估人员以递增评估范围、深度和严格程度的方式来
度量文档和对应IT产品的有效性。
ISO/IEC 15408不排斥也不评论其他获得保障方法的相关优点。有关获得保障的其他方法仍在研
究当中,一旦产生成熟的、可选择的方法,可以考虑把它们纳入到ISO/IEC 15408中,因为ISO/IEC 15408
的结构允许引入新的内容。
5.2.1 脆弱性的意义
假定存在威胁者,他们将积极寻求违反安全策略的可乘之机,无论是为了非法获利还是出于善意的
目的,其行为都是不安全的。威胁者也可能偶然触发了脆弱性,造成对组织的危害。由于存在处理敏感
信息的需求而又缺乏充分可信的产品,IT失效将会导致很大的风险。因此,破坏IT安全性可能造成重
大的损失。
通过脆弱性的有意利用或无意触发,破坏IT安全性的事件常发生在商用方面的IT应用过程中。
应采取一定的措施防止在IT产品中出现脆弱性。在可行的情况下,脆弱性应该被:
a) 消除---应采取积极的措施发现、排除或者抑制所有可利用的脆弱性;
b) 最小化---应采取积极的措施减少任何因脆弱性利用而造成的潜在影响,使残留的脆弱性达
到一个可接受的程度;
c) 监视---应采取积极的措施确保任何利用残余脆弱性的企图都将被察觉,以便采取措施限制
由此带来的损失。
5.2.2 脆弱性产生的原因
下列过程的失效可产生脆弱性:
a) 要求---IT产品可具有所有必需的功能和特征,也仍然可能包含脆弱性,致使产品在安全性
方面不适当或者不起作用;
b) 开发---IT产品不符合其规范要求,和/或由于遵循了不良的开发标准或不正确的设计抉择
而引入了脆弱性;
c) 运行---IT产品已经按正确的规范被正确构造,但是在其运行过程中由于缺乏控制而引入了
脆弱性。
5.2.3 ISO/IEC 15408保障
保障是信任一个IT产品满足其安全目的的基础。保障可从诸如未经证实的声明、先前相关经验
或者特定经验等中导出。然而,ISO/IEC 15408通过主动调查来提供保障。主动调查就是以确定IT产
品安全特性为目的对IT产品进行评估。
5.2.4 通过评估获得保障
评估是获取保障的传统手段,并且是ISO/IEC 15408方法的基础。评估技术包括但不限于以下
这些:
a) 分析并检查过程和程序;
b) 检查过程和程序是否正在被使用;
c) 分析TOE各设计表示之间的一致性;
d) 对照要求,分析TOE的设计表示;
e) 验证证据;
f) 分析指导性文档;
g) 分析所开发的功能测试和所提供的结果;
h) 独立的功能测试;
i) 脆弱性分析(包括缺陷假设);
j) 穿透性测试。
5.3 ISO/IEC 15408评估保障尺度
ISO/IEC 15408的基本原则确信,更高的保障级别源于更多的评估努力,其目的是运用最小的努力
来获得必要的保障级。努力程度的增长基于:
a) 范围---努力越多表明该IT产品被纳入了评估范围的部分越多;
b) 深度---努力越多表明对该IT产品的设计和实现细节评估得越细;
c) 严格性---努力越多表明对该IT产品的评估采用了越具结构性和形式化的方法。
6 安全保障组件
6.1 安全保障类、族和组件结构
以下内容描述了用于表示保障类、族和组件的结构。
图1图示说明了本部分所定义的安全保障要求(SAR)。需注意的是保障要求中最抽象的集合称作
类。每一类包含多个保障族,每一族又包含多个保障组件,每一组件同样又包含多个保障元素。类和族
用于提供对保障要求进行分类的分类法,而组件用来详细定义PP/ST中的安全保障要求。
6.1.1 保障类结构
保障类的结构如图1所示。
6.1.1.1 类名
每一保障类被分配了一个唯一的类名。类名表明该保障类所涵盖的主题。
还提供了保障类名对应的唯一缩写形式,这是引用该保障类的主要方式。采用“A”后跟两个与类
名有关的字母来表示。
6.1.1.2 类介绍
每个保障类有一段介绍,描述类的组成,并且包含涉及该类意图的支持性文字。
6.1.1.3 保障族
每个保障类至少包含一个保障族。保障族的结构将在以下内容中进行介绍。
图1 保障类/族/组件/元素的层次
6.1.2 保障族结构
保障族的结构如图1所示。
6.1.2.1 族名
每个保障族被分配了一个唯一的族名。该名字提供了与保障族所涵盖主题相关的描述性信息。每
个保障族归属于一个保障类,这个保障类也包括具有相同意图的其他保障族。
保障族名也有一个唯一的缩写形式,这是引用该保障族的主要方式。其表示方法是所在类名的缩
写,紧跟着一个下划线,然后再加上与族名有关的三个字母。
6.1.2.2 目的
保障族的目的内容说明了保障族的意图。
描述了该保障族所要满足的目的,特别是那些与ISO/IEC 15408保障范型有关的目的。保障族的
这部分描述是一般性描述。任何目的的细节描述都包含在特定的保障组件中。
6.1.2.3 组件分级
每个保障族包含一个或多个保障组件。保障族部分描述可供使用的组件并且解释各组件之间的差
异。一旦确定该保障族对PP/ST保障要求而言是必需或是有用的,就要区分这些保障组件,这是组件
分级的主要目的。
含有超过一个组件的保障族将被分级,并提供组件是如何分级的原理性解释。原理是按照范围、深
度和/或严格性三方面来界定的。
6.1.2.4 应用注释
如果有保障族应用注释,应包含该保障族的一些附加信息。这些信息应该是保障族用户(例如PP
和ST的作者、TOE的设计者、评估者)特别感兴趣的。这部分描述是非正式的,......
英文网页English: GB/T 18336.3-2015
相关标准: GB/T 20261|GB/T 18336.3|GB/T 18336.4|GB/T 18336.2|GB/T 18336.3-2015|GB/T 18336.3|