中国标准英文版 数据库收录: 159759 更新: 2024-07-04

[PDF] GB/T 18336.1-2015 - 自动发货. 英文版

标准搜索结果: 'GB/T 18336.1-2015'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 18336.1-2015 英文版 150 GB/T 18336.1-2015 3分钟内自动发货[PDF],有增值税发票。 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型 有效

PDF提取页预览 (购买全文PDF,9秒内自动发货,有发票)
基本信息
标准编号 GB/T 18336.1-2015 (GB/T18336.1-2015)
中文名称 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型
英文名称 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 92,963
发布日期 2015-05-15
实施日期 2016-01-01
旧标准 (被替代) GB/T 18336.1-2008
引用标准 ISO/IEC 15408-2; ISO/IEC 15408-3; ISO/IEC 18045
采用标准 ISO/IEC 15403-2009, IDT
起草单位 中国信息安全测评中心
归口单位 全国信息安全标准化技术委员会
标准依据 国家标准公告2015年第15号
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会
范围 本部分建立了IT安全评估的一般概念和原则, 详细描述了ISO/IEC 15408各部分给出的一般评估模型, 该模型整体上可作为评估IT产品安全属性的基础。本部分给出了ISO/IEC 15408的总体概述。它描述了ISO/IEC 15408的各部分内容;定义了在ISO/IEC 15408各部分将使用的术语及缩略语, 建立了关于评估对象(TOE)的核心概念, 论述了评估背录, 并描述了评估准则针对的读者对象。此外, 还介绍了IT产品评估所需的基本安全概念。本部分定义了裁剪ISO/IEC 15408-2和ISO/IEC 1

GB/T 18336.1-2015: 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型
GB/T 18336.1-2015 英文名称: Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 18336.1-2008
信息技术 安全技术
信息技术安全评估准则
第1部分:简介和一般模型
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
GB/T 18336的本部分建立了IT安全评估的一般概念和原则,详细描述了ISO/IEC 15408各部分
给出的一般评估模型,该模型整体上可作为评估IT产品安全属性的基础。
本部分给出了ISO/IEC 15408的总体概述。它描述了ISO/IEC 15408的各部分内容;定义了在
ISO/IEC 15048各部分将使用的术语及缩略语;建立了关于评估对象(TOE)的核心概念;论述了评估
背景;并描述了评估准则针对的读者对象。此外,还介绍了IT产品评估所需的基本安全概念。
本部分定义了裁剪ISO/IEC 15408-2和ISO/IEC 15408-3描述的功能和保障组件时可用的各种
操作。
本部分还详细说明了保护轮廓(PP)、安全要求包和符合性这些关键概念,并描述了评估产生的结
果和评估结论。ISO/IEC 15408的本部分给出了规范安全目标(ST)的指导方针并描述了贯穿整个模
型的组件组织方法。关于评估方法的一般信息以及评估体制的范围将在IT安全评估方法论中给出。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
5.3 目标读者
有三类群体对TOE安全评估感兴趣:消费者、开发者和评估者。ISO/IEC 15408-1在结构上已支
持了这三类群体的需求。他们都被认为是ISO/IEC 15408的主要用户。这三类群体都能从下列章条
所述标准中受益。
5.3.1 消费者
编制ISO/IEC 15408是确保评估满足消费者的需求,因为这是评估过程的基本目的和理由。
消费者可以使用评估结果来帮助决定一个TOE是否满足他们的安全需求,这些安全需求通常是
风险分析和策略指导的结果。消费者也可以用这些评估结果来比较不同的TOE。
ISO/IEC 15408为消费者,尤其是消费者群体和行业团体,提供一个独立于实现的结构,即保护轮
廓(PP),在其中以一种明确的方式表达他们的安全要求。
5.5 评估背景
为了使评估结果具有更好的可比性,评估应在权威的评估体制框架内执行,该体制框架负责制定标
准、监控评估质量、管理评估机构和评估者必须符合的规章制度。
ISO/IEC 15408不对规章制度框架提出要求。但是,不同评估机构的这些框架有必要一致,以达到
相互认可评估结果的目标。
使评估结果具有更好的可比性的第二种方法是使用通用方法达到这些结果。对于ISO/IEC 15408,该
方法在评估方法(CEM)中给出。
通用评估方法的使用主要是确保评估结果的可重复性和客观性,但仅靠评估方法本身是不充分的。
许多评估准则需要使用专业的判断和背景知识,而这些更难达到一致。为了增强评估结论的一致性,最
终的评估结果可能提交给认证过程来处理。
认证过程是对评估结果的独立审查,并产生最终的证书或正式批文,该证书通常是公开的。要说明
的是,认证过程是使得IT安全准则的应用达到更加一致的一种手段。
评估体制和认证过程由运行评估体制和过程的评估机构负责,不属ISO/IEC 15408的范围。
6.2.1 对策的充分性
在评估中,对策的充分性是通过一个称为安全目标的概念来分析的。本条将简单描述这个概念,更
详细和完整的描述参见附录A。
安全目标从描述资产和对这些资产的威胁开始,然后安全目标描述对策(以安全目的形式),并证实
这些对策对于对抗这些威胁是充分的:如果对策做了声称要做的事情,那么对策足以对抗威胁。
安全目标将对策划分为两组:
a) TOE的安全目的:描述了需要在评估中确定其正确性的对策;
b) 运行环境安全目的:描述了不需要在评估中确定其正确性的对策。
这样划分的理由是:
● ISO/IEC 15408仅仅适合于评估IT对策的正确性,因此非IT对策(保安人员、程序)总是放在
运行环境中考虑。
● 对策的正确性评估耗费时间和金钱,因此评估所有IT对策的正确性也许不可行。
● 某些IT对策的正确性可能已经在其他评估中评估了,因此再次评估其正确性是无成本效
益的。
从这些方面看,它遵循了正确的TOE(满足SFR)与正确的运行环境(满足运行环境安全目的)结合
来对抗威胁。在6.2.2和6.2.3中,TOE的正确性和运行环境的正确性分开讨论。
6.2.2 TOE的正确性
TOE的设计和实现可能不正确,可能因此包含着导致脆弱性的错误,攻击者通过利用这些脆弱性,
仍可能破坏和/或滥用资产。
这些脆弱性可能由开发期间的意外错误、糟糕的设计、故意添加的恶意代码和糟糕的测试等引发。
为确定TOE的正确性,可以执行的活动如:
● 测试TOE;
● 检查TOE的各种设计表示;
● 检查TOE开发环境的物理安全。
安全目标以安全保障要求(SAR)的形式提供了这些活动的结构化描述,以确定正确性。这些安全
保障要求用标准化语言(在ISO/IEC 15408-3描述)来表示,以保证正确性和可比性。
如果满足了SAR,那么就可保障TOE的正确性,因此TOE几乎不可能包含可以被攻击者利用的
漏洞。在TOE正确性方面的保障程度由SAR本身确定:“弱”的SAR所能提供保障少,而许多“强”的
SAR可提供更大的保障。
6.2.3 运行环境的正确性
运行环境的设计和实现也可能不正确,因此可能包含导致脆弱性的错误,攻击者通过利用这些脆弱
性,仍然可以破坏和/或滥用资产。
然而,ISO/IEC 15408无法保障可获得有关运行环境的正确性,换句话说,运行环境将不做评估(见
6.3)。
就评估而言,运行环境被假设为可以100%地实现运行环境安全目的。
这不排除TOE的消费者使用其他方法确定其运行环境的正确性,如:
● 如果是对于一个操作系统,运行环境安全目的声明“运行环境将确保来自不可信网络(如,inter-
net)的实体只能通过ftp访问TOE”,消费者可以选择一个经过评估的防火墙,配置它为仅允许
通过FTP对TOE进行访问。
● 如果运行环境安全目的声明“运行环境将确保所有管理人员没有恶意行为”,消费者可以调整
其与管理人员的合同使其包括对恶意行为的惩罚性制裁,但这个不是ISO/IEC 15408评估的
一部分。
7.1.2 赋值操作
当一个给定组件包含了一个可以由PP/ST作者设置参数的元素,这时就需要进行赋值操作。参数
可以是一个非限制变量,或者是限定变量值在指定范围的一个规则。
当PP中的元素包含一个赋值时,PP作者都应该做下列四件事情之一:
a) 不进行赋值。PP作者可以在PP中包括组件FIA_AFL.1.2“当达到或超过已定义的不成功鉴
别尝试次数时,TSF应[赋值:动作列表]”;
b) 完成赋值。例如,PP作者可以在PP中包括组件FIA_AFL.1.2“当达到或超过已定义的不成
功鉴别尝试次数时,TSF应[防止外部实体在将来捆绑到任何主体]”;
c) 限制赋值,进一步限制允许值的范围。例如,PP作者可以在PP中包括FIA_AFL.1.1“TSF应
检测当[赋值:4和9之间的正整数]”次不成功的鉴别尝试发生时;
d) 将赋值转换为选择操作时,会缩小赋值范围。例如,PP作者可以在PP中包括FIA_AFL.1.2
“当达到或超过已定义的不成功鉴别尝试次数时,TSF应[选择:防止用户在将来捆绑到任何
主体,通知管理员]”;
无论何时ST中的元素包含了一个赋值,ST作者应如b)中所示,完成该赋值。ST中不允许出现
a)、c)和d)中的情况。
b)、c)和d)中的值应该与赋值要求的类型符合。
当赋值由一个集合完成时(如主体集合),可以列出一组主体,也可以是对可以导出集合元素的集合
的描述,只要主体是有意义的。
7.1.4 细化操作
细化操作可以在每一个要求上执行。PP/ST作者通过修改要求执行细化操作。细化操作的第一
条规则是在PP/ST中,满足细化要求的TOE也要满足细化之前的要求(即,一个细化的要求必须比原
始要求更加严格)。如果一个细化操作不满足这条规则,经过细化操作的要求就被视为一个扩展要求并
应被相应处理。
这条规则的唯一例外是PP/ST作者允许细化一个SFR,以应用于某些而非所有的主体、客体、操
作、安全属性和/或外部实体。
然而该例外情况不适用于细化已在PP中进行了一致性声明的SFR,这些SFR不可提炼用于比该
PP中更少的主体、客体、操作、安全属性或外部实体。
细化操作的第二个规则是细化应与原始组件相关。
细化操作的特殊情况是编辑上的细化,该细化在一个要求上作了少量变化,如,为了保持恰当的语
法而修改语句,或者使得要求更容易被读者理解。这种变化不允许以任何方式修改要求的意义。
7.2 组件间的依赖关系
组件间可能存在依赖关系。当一个组件无法独自充分表达安全功能性或保障性而依赖于另一个组
件的存在时,就产生依赖关系。
ISO/IEC 15408-2中的功能组件通常会依赖其他功能组件,正如ISO/IEC 15408-3的保障组件可
能依赖其他保障组件。也可以定义ISO/IEC 15408-2对ISO/IEC 15408-3组件的依赖关系,然而,这不
能避免扩展的功能组件对保障组件有依赖关系,反之亦然。
组件依赖关系的描述可通过参考ISO/IEC 15408-2和ISO/IEC 15408-3的组件定义来确定。为了
保证TOE安全要求的完整性,当基于具有依赖关系的组件的要求被合并到PP和ST中时,依赖关系应
该被满足。构造包时,也应该考虑依赖关系。
8.3 保护轮廓
虽然ST通常用于描述一个特定的TOE(如,某个特定型号的防火墙),PP却意在描述一类TOE(如,
防火墙)。因此,相同的PP可以作为模板用于构造许多不同评估中的ST。PP的详细描述参见附录B。
一般来说,ST为一个TOE描述要求,由TOE的开发者编写;而PP为一类TOE描述通用要求,典
型的编写者为:
● 为一个给定TOE类型寻求一致要求的用户团体;
● TOE的开发者,或者希望为该类型的TOE建立最小基线的类似TOE开发者群体;
● 为采购过程而详细说明其要求的政府或大公司。
PP确定了允许ST符合PP的方式,即PP声明(在PP符合性声明中,见B.5)规定了ST符合的方式是:
● 如果PP声明需要满足严格的符合性,ST就应严格地与PP符合;
● 如果PP声明需要满足可论证的符合性,ST就应以严格的或者可论证的方式与PP符合;
换言之,如果PP明确允许可论证的符合性,那么仅允许ST以至少可论证的方式与PP符合;
如果ST声明与多个PP符合,它将以PP规定的(如上)方式与每个PP符合。这可能意味着ST与
某些PP严格符合,而与另一些PP满足可论证的符合性。
注意ST与PP符合是否存在质疑。ISO/IEC 15408不认可“部分”符合。因此PP作者的职责是确
保PP不会过于繁琐,而妨碍PP/ST作者声明与这样的PP符合。
由于以下认识,ST等同于PP,或者比PP约束更多:
● 所有满足该ST的TOE也满足该PP;
● 所有满足该PP要求的运行环境也满足该ST的要求。
或者,非正式地说,(与PP相比)ST应该对TOE施加相同的或更多的限制,并对TOE的运行环境
施加相同的或更少的限制。
在ST的不同章条中可以对这个一般性的结论进行更多特定的陈述:
安全问题定义:ST中的符合性基本原理应证实ST中的安全问题定义等同于(或更严格于)PP中
的安全问题定义。这意味着:
● 所有TOE,若满足ST中的安全问题定义,也满足PP中的安全问题定义;
● 所有运行环境,若满足PP中的安全问题定义,也满足ST中的安全问题定义。
安全目的:ST中的符合性基本原理应证实ST中的安全目的等同于(或更严格于)PP中的安全目
的。这意味着:
● 所有TOE,若满足ST中的TOE安全目的,也满足PP中的TOE安全目的;
● 所有运行环境,若满足PP中的运行环境安全目的,也满足ST中的运行环境安全目的。
如果说明了与保护轮廓严格符合,则下列要求适用:
a) 安全问题定义:ST应包含PP中定义的安全问题,可以规定附加的威胁和组织安全策略,但不
能规定附加的假设。
b) 安全目的:ST:
● 应该包含PP中的所有TOE安全目的,但也可以规定附加的TOE安全目的;
● 应该包含所有的运行环境安全目的(下一点除外),但不能规定附加的运行环境安全目的;
● 可以将PP中的某些运行环境安全目的指定为ST中的TOE安全目的,这称为安全目的
的重新分配。如果安全目的重新赋值给TOE,安全目的基本原理必须解释清楚哪个假设
或假设的哪一部分不再是必须的。
c) 安全要求:ST应该包含PP中的所有SFR和SAR,但可以声明增加或增强的SFR和SAR,
ST中完成的操作必须与PP中的操作一致;ST中完成的操作与PP中完成的操作完全相同或
者要求更加严格(应用细化规则)。
如果说明了与保护轮廓的可论证符合性,那么下列要求适用:
● ST应该包含有关为什么ST在限制程度上被认为“等同或更严格”于PP的基本原理;
● 可论证的符合性允许PP作者描述将要解决的公共安全问题,为其解决方案需要满足的必要条
件提供一般性的指导原则,已知可能有多个方法能详细说明一个解决方案。
PP评估是可选的。评估依据ISO/IEC 15408-3的APE准则进行。此评估的用意是证实PP是完
备的、一致的、技术上合理的,且适于用作建立其他PP或ST的模版。
在一个已评估的PP上建立PP/ST可获得两个优点:
● 在PP中出现错误、不确定性或缺陷的风险将少得多。如果在编写或评估新的ST期间,发现与
PP有关的问题(本可以通过PP评估过程发......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版