GB/T 18336.3-2024 网络安全技术 信息技术安全评估准则 第3部分：安全保障组件

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T183363—2024/ISO/IEC15408-32022

.:

部分代替GB/T183363—2015

.

网络安全技术信息技术安全评估准则

第3部分安全保障组件

:

Cybersecuritytechnology—EvaluationcriteriaforITsecurity—

Part3Securitassurancecomonents

:yp

ISO/IEC15408-32022Informationsecuritcbersecuritandrivac

(:,y,yypy

protection—EvaluationcriteriaforITsecurity—

Part3SecuritassurancecomonentsIDT

:yp,)

2024-04-25发布2024-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T183363—2024/ISO/IEC15408-32022

.:

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

总述

4………………………5

保障范式

…………………

55

概述

5.1…………………5

基本方法

5.2ISO/IEC15408…………5

保障方法

……………

5.35

评估保障尺度

5.4ISO/IEC15408……………………7

安全保障组件

6……………7

概述

6.1…………………7

保障类结构

6.2…………………………7

保障族结构

6.3…………………………9

保障组件结构

6.4………………………9

保障元素

6.5……………11

组件分类

6.6……………11

类保护轮廓评估

7APE:…………………11

概述

7.1…………………11

介绍

7.2PP(APE_INT)………………12

符合性声明

7.3(APE_CCL)…………12

安全问题定义

7.4(APE_SPD)………………………14

安全目的

7.5(APE_OBJ)……………14

扩展组件定义

7.6(APE_ECD)………………………15

安全要求

7.7(APE_REQ)……………16

类保护轮廓配置评估

8ACE:……………18

概述

8.1…………………18

模块介绍

8.2PP-(ACE_INT)…………19

模块符合性声明

8.3PP-(ACE_CCL)…………………19

模块安全问题定义

8.4PP-(ACE_SPD)………………21

模块安全目的

8.5PP-(ACE_OBJ)……………………21

模块扩展组件定义

8.6PP-(ACE_ECD)………………22

Ⅰ

GB/T183363—2024/ISO/IEC15408-32022

.:

模块安全要求

8.7PP-(ACE_REQ)…………………23

模块一致性

8.8PP-(ACE_MCO)……………………25

配置一致性

8.9PP-(ACE_CCO)……………………26

类安全目标评估

9ASE:…………………28

概述

9.1…………………28

介绍

9.2ST(ASE_INT)………………29

符合性声明

9.3(ASE_CCL)…………30

安全问题定义

9.4(ASE_SPD)………………………31

安全目的

9.5(ASE_OBJ)……………32

扩展组件定义

9.6(ASE_ECD)………………………33

安全要求

(_)……………

9.7ASEREQ34

概要规范

9.8TOE(ASE_TSS)………………………36

复合产品安全目标一致性

9.9(ASE_COMP)………37

类开发

:…………………………

10ADV38

规则

10.1………………38

安全架构

10.2(ADV_ARC)…………42

功能规范

(_)……………

10.3ADVFSP43

实现表示

10.4(ADV_IMP)……………50

内部

10.5TSF(ADV_INT)…………51

安全策略模型

10.6(ADV_SPM)……………………54

设计

10.7TOE(ADV_TDS)…………56

复合设计符合性

10.8(ADV_COMP)…………………61

类指导性文档

:…………………

11AGD63

规则

11.1………………63

操作用户指南

11.2(AGD_OPE)……………………63

准备程序

(_)……………

11.3AGDPRE64

类生命周期支持

12ALC:………………65

规则

12.1………………65

能力

(_)……………

12.2CMALCCMC66

范围

12.3CM(ALC_CMS)……………72

交付

12.4(ALC_DEL)…………………75

开发者环境安全

12.5(ALC_DVS)……………………76

缺陷纠正

12.6(ALC_FLR)……………77

开发生命周期定义

12.7(ALC_LCD)…………………80

开发构件

12.8(ALC_TDA)…………82

工具和技术

12.9(ALC_TAT)………………………87

复合部分集成和交付程序一致性核查

12.10(ALC_COMP)………89

Ⅱ

GB/T183363—2024/ISO/IEC15408-32022

.:

类测试

13ATE:…………………………90

规则

13.1………………90

覆盖

13.2(ATE_COV)………………91

深度

13.3(ATE_DPT)…………………92

功能测试

13.4(ATE_FUN)…………95

独立测试

13.5(ATE_IND)……………97

复合功能测试

13.6(ATE_COMP)……………………99

类脆弱性评定

14AVA:………………100

概述

14.1………………100

应用注释

14.2…………………………101

脆弱性分析

(_)………………………

14.3AVAVAN101

复合脆弱性评定

14.4(AVA_COMP)………………105

类组合

15ACO:…………………………106

规则

………………

15.1106

组合基本原理

15.2(ACO_COR)……………………109

开发证据

15.3(ACO_DEV)…………109

依赖部件的依赖性

(_)………………

15.4ACOREL112

组合测试

15.5TOE(ACO_CTT)…………………113

组合脆弱性分析

15.6(ACO_VUL)…………………115

附录资料性开发

A()(ADV)…………118

安全架构的补充材料

A.1ADV_ARC:………………118

功能规范的补充材料

A.2ADV_FSP:………………120

内部补充材料

_:…………………

A.3ADVINTTSF126

子系统和模块

A.4ADV_TDS:………………………128

形式化方法补充材料

A.5……………132

附录资料性组合

()()…………

BACO135

概述

B.1………………135

组合评估的必要性

B.2TOE………………………135

执行组合的安全目标评估

………………

B.3TOE136

组合实体间的交互关系

B.4IT……………………136

附录资料性保障组件依赖关系的交叉引用

C()……………………141

附录资料性缩略语

NA()……………146

参考文献

……………………147

Ⅲ

GB/T183363—2024/ISO/IEC15408-32022

.:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是网络安全技术信息技术安全评估准则的第部分已经

GB/T18336《》3。GB/T18336

发布以下部分

:

第部分简介和一般模型

———1:;

第部分安全功能组件

———2:;

第部分安全保障组件

———3:;

第部分评估方法和活动的规范框架

———4:;

第部分预定义的安全要求包

———5:。

本文件和网络安全技术信息技术安全评估准则第部分评估方法和

/—《:

GBT18336.420244

活动的规范框架网络安全技术信息技术安全评估准则第部分预定义

》、/—《:

GBT18336.520245

的安全要求包共同代替信息技术安全技术信息技术安全评估准则第

》GB/T18336.3—2015《3

部分安全保障组件

:》。

本文件部分代替信息技术安全技术信息技术安全评估准则第部分

GB/T18336.3—2015《3:

安全保障组件与相比除结构调整和编辑性改动外主要技术变化如下

》。GB/T18336.3—2015,,:

更改了术语见第章年版的第章

———(,);

320153

增加了精确符合性类型见和

———(,,);

.28.9.29.3.2

删除了评估保障级和组合保障包见年版的第章和第章

———(201578);

增加了直接基本原理的保护轮廓见和

———(7.7.39.7.3);

增加了用于模块化评估的模块和配置见第章

———PP-PP-(8);

增加了多重保障级评估见和

———(8.9.2,9.2.29.7.3);

增加了复合产品评估安全保障组件见和

———(,,,)。

9.910.812.1013.614.4

本文件等同采用信息安全网络安全和隐私保护信息技术安全评估准

/:《、

ISOIEC15408-32022

则第部分安全保障组件

3:》。

本文件做了下列最小限度的编辑性改动

:

为与现有标准协调将标准名称改为网络安全技术信息技术安全评估准则第部分安

———,《3:

全保障组件

》;

增加了资料性附录缩略语

———“”。

NA

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出和归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心中国合格评定国家认可中心公安部第三研究所中国电

:、、、

子科技集团公司第十五研究所清华大学华为技术有限公司北京天融信网络安全技术有限公司中国

、、、、

科学院信息工程研究所复旦大学武汉大学吉首大学浙江大华技术股份有限公司中科信息安全共

、、、、、

性技术国家工程研究中心有限公司吉林信息安全测评中心陕西省网络与信息安全测评中心成都虚

、、、

谷伟业科技有限公司安徽中科国创高可信软件有限公司北京中测安华科技有限公司荣耀终端有限

、、、

公司科来网络技术股份有限公司医渡云北京技术有限公司北京中电华大电子设计有限责任公司

、、()、、

合肥天帷信息安全技术有限公司北京数安行科技有限公司金篆信科有限责任公司

、、。

本文件主要起草人张宝峰毕海英邓辉高金萍杨永生石竑松谢仕华贾炜许源李凤娟

:、、、、、、、、、、

Ⅴ

GB/T183363—2024/ISO/IEC15408-32022

.:

牛兴荣李洪孟亚豪武