GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型

华人民共和国国家标准

信息技术安全技术

信息技术安全性评估准则

第部分简介和一般模型

发布实施

国家质量技术监督局发布

前言

本标准等同采用国际标准信息技术安全技术信息技术安全性评估准

则第部分简介和一般模型

标准介绍了信息技术安全性评估的基概念并给出了信息技术安全性评估的一般模型并在附

录和附录分别介绍了保护轮廓和安全目标

在总标题信息技术安全技术信息技术安全性评估准则下由以下几个部分组

成

第部分简介和一般模型

第部分安全功能要求

第部分安全保证要求

本标准的附录和附录是提示的附录

本标准的附录和附录是标准的附录

本标准由国家质量技术监督局提出

本标准由全国信息技术标准化技术委员会归口

本标准由中国国家信息安全测评认证中心信息产业部电子第研究所国家信息中心复旦大学

负责起草

本标准主要起草吴世忠龚奇敏陈晓桦李守鹏罗建中方关宝李鹤田吴亚飞雷利民叶

红吴承荣黄元飞任卫红崔玉华

标准委托中国国家信息安全测评认证中心负责解释

前言

国际标准化组织和国际电工委员会形成了全世界标准化的专门体系作为或

成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定和

技术委员会在共同关心的领域里合作其他与和有联系的政府和非政府的国际组织也参

加了该项工作

国际标准的起草符合导则第部分的原则

在信息技术领域和已经建立了一个联合技术委员会联合技术委员

会采纳的国际标准草案分发给国家机构投票表决作为国际标准公开发表要至少的国家机构

投赞成票

国际标准是由联合技术委员会信息技术与通用准则项目发起

组织合作产生的与同样的文本由通用准则项目发起组织作为信息技术安全性评估

通用准则发表有关通用准则项目的更多信息和发起组织的联系信息由的附录

提供

在信息技术安全技术信息技术安全性评估准则的总标题下由以下几

部分组成

第部分简介和一般模型

第部分安全功能要求

第部分安全保证要求

附录和附录构成本部分的规范部分附录和附录仅供参考

以下具有法律效力的提示已按要求放置在的所有部分

在附录中标明的七个政府组织总称为通用准则发起组织作为信息技术

安全性评估通用准则第至第部分称为版权的共同所有者在此特许在开发

国际标准中非排他性地使用但是通用准则发起组织在他们认为适当时保留对的

使用拷贝分发以及修改的权利

中华人民共和国国家标准

信息技术安全技术

信息技术安全性评估准则

第部分简介和一般模型

范围

定义了作为评估信息技术产品和系统安全特性的基础准则由于历史和连续性的原

因仍叫通用准则通过建立这样的通用准则库使信息技术安全评估的结

果能被更多的理解

针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提供了一组通

用要求使各种独立的安全评估结果具有可比性评估过程为满足这些要求的产品和系统的安全功能以

及相应的保证措施确定一个可信级别评估结果可以帮助用户确定信息技术产品和系统对他们的应用

而言是否足够安全以及在使用中隐藏的安全风险是否可以容忍

可用于具有信息技术安全功能的产品和系统的开发与采购指南在评估过程中这样的产品和

系统被称为评估对象如操作系统计机网络分布式系统以及应

用等

涉及信息保护以避免未经授权的信息泄露修改和无法使用与此对应的保护类型通常分别

称之为保密性完整性和可用性除上述三个方面外还适用于信息安全的其他方面重点考虑

人为的信息威胁无论其是否是恶意的但也可用于非人为因素导致的威胁此外还可适用于

其他信息技术领域但对严格意义上信息技术安全之外的领域不做承诺

适用于硬件固件和软件实现的信息技术安全措施当一些特定的评估仅适用于某些实现方法

时这一点将在相关的准则说明中注明

某些内容因涉及特殊的专业技术或仅是信息技术安全的外围技术不在的范围内例如

不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全评估准

则但是应该认识到安全的重要部分是通过诸如组织的个的物理的程序的监控等行政性

管理安全措施来实现的当行政性管理安全措施影响到信息技术安全措施对抗确定威胁的能力时这类

管理安全措施在的运行环境中被认为是安全使用的前提条件

对于信息技术安全性的物理方面诸如电磁辐射控制的评估虽然的许多概念是适用的

但并不专门针对该领域然而也会专门涉及物理保护的一些方面

并不涉及评估方法学也不涉及评估机构使用规则的管理模式或法律框架但希望能

在具有这样的框架和方法论的环境中用于评估

评估结果用于产品和系统认可的过程不属于的范围产品和系统的认可是行政性的管理过

国家质量技术监督局批准实施

程据此授权信息技术产品和系统在其整个运行环境中投入使用评估集中于产品和系统的信息技术安

全部分以及直接影响到安全使用信息技术要素的那些运行环境因而评估结果是认可过程的有效依

据但是当其他技术更适合于评价非信息技术相关的系统或产品的安全特性及其与信息技术安全部分

的关系认可者应分别作出这些方面的认可

不包括密码法固有质量评价准则如果要对嵌入的密码数学特性进行独的评

价则在使用的评估体制中必须提供这样的评价

引用标准

下列标准所包括的条文通过在标准中引用而构成为标准的条文本标准出版时所示版均

为有效所有标准都会被修订使用标准的各方应探讨使用下列标准最新版本的可能性

信息处理系统开放系统互连基参考模型第部分安全体系结构

定义

通用缩略语

以下缩略语在各部分中通用

通用准则

评估保证级

信息技术

保护轮廓

安全功能

安全功能策略

功能强度

安全目标

评估对象

控制范围

安全功能

接口

安全策略

术语表的范围

条只收录在中有特殊用法的术语在中使用的大多数术语或根据普遍接受的词典定义

或根据普遍接受的或安全术语定义或根据熟知的安全性术语定义在中一些不便于定义

的由通用术语组合成的复合词将在使用他们的地方进行解释在第部分和第部分

的范例章条中可以见到术语和概念的解释

术语表

资产

由安全策略保护的信息或资源

赋值

规定组件中的一个特定参数

保证

实体达到其安全性目的的信任基础

攻击潜力

可察觉的成功实施攻击的可能性如果发起攻击其程度用攻击者的专业水平资源和动机来表示

增强

将第部分若干个保证组件加入到或保证包中

鉴别数据

用于验证用户所声称身份的信息

授权用户

依据可以执行某项操作的用户

类

具有共同目的的子类的集合

组件

可包含在或一个包中的最小可选元素集

连通性

允许与之外的实体进行交互的特性包括在任何环境和配置下通过任意距离的有

线或无线方式的数据交换

依赖关系

各种要求之间的关系一种要求要达到其目的必须依赖另一种要求的满足

元素

不可再分的安全要求

评估

依据确定的准则对或的评价

评估保证级

由第部分中保证组件构成的包该包代表了预先定义的保证尺度上的某个位

置

评估管理机构

依据评估体制在特定团体中贯彻确定标准和监督团体内各种评估质量的管理机构

评估体制

指导评估管理机构在特定团体中使用的管理与法定框架

扩展

把不包括在第部分中的功能要求或第部分中的保证要求增加到或中

外部实体

在之外与其交互的任何可信或不可信的产品或系统

子类

一组具有共同安全目的但侧重点或严格性可能不同的组件的集合

形式化

在完备数学概念基础上采用具有确定语义并有严格语法的语言表达的

个人用户

与交互的任何个

身份

能唯一标识一个授权用户的表示比如字符串它可以是全名缩写名或假名

非形式化

采用自然语言表达的

内部通信信道

中各分离部分间的通信信道

内部传送

中各分离部分之间的数据通信

间传送

与其它可信产品安全功能之间的数据通信

反复

一个组件在不同操作中多次使用

客体

在中由主体操作的包含或接收信息的实体

组织安全策略

组织为保障其运转而规定的若干安全规则过程规范和指南

包

为了满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件如

产品

软件固件或硬件的包其功能用于或组合到多种系统中

保护轮廓

满足特定用户求与一类实现无关的一组安全要求

参照监视器

执行访问控制策略的抽象机概念

参照确认机制

具有以下特性的参照监视器概念的一种实现防篡改一直运行简到能对其进行彻的分析和

测试

细化

为组件添加细节

角色

一组预先确定的规则规定在用户和之间许可的交互

秘密

为了执行特定必须只能有授权用户或才知晓的信息

安全属性

用于执行的与主体用户或客体相关的信息

安全功能

为执行中一组紧密相关的规则子集而必须依赖的部分

安全功能策略

执行的安全策略

安全目的

意在对抗特定的威胁满足特定的组织安全策略和假设的陈述

安全目标

作为指定的评估基础的一组安全要求和规范

选择

从组件的项目表中指定一项或几项

半形式化

采用具有确定语义并有严格语法的语言表达的

功能强度

安全功能的一种指标表示通过直接攻击其基础安全机制攻破所设计的安全功能所要的

最小代价

基本级功能强度

一种功能强度级别分析表明级别安全功能足够对抗低潜力攻击者对安全的偶发攻

击

中级功能强度

一种功能强度级别分析表明级别安全功能足够对抗中等潜力攻击者对安全直接或

故意的攻击

高级功能强度

一种功能强度级别分析表明级别安全功能足够对抗高等潜力攻击者对安全有计

划有组织的攻击

主体

在中实施操作的实体

系统

具有特定目的和运行环境的专用装置

评估对象

作为评估主体的产品及系统以及相关的管理员和用户指南文档

资源

中可用或可消耗的所有东西

安全功能

正确执行所必须依赖的全部硬件软件和固件的集合

安全功能接口

一组交互式人机接口或编程应用编程接口接口通过它访问调配资源或者从

中获取信息

安全策略

规定中资产管理保护和分配的一组规则

安全策略模型

执行的安全策略的结构化表示

控制外传送

与不受控制的实体交换数据

可信信道

和远程可信产品间的一种通信方式该方式对的支持具有必要的置信度

可信路径

用户和间的一种通信方式该方式对的支持具有必要的置信度

数据

产生的或为产生的数据这些数据可能会影响的操作

控制范围

可与或在中发生的并服从规则的交互集合

用户

在之外与交互的任何实体个用户或外部实体

用户数据

由用户产生或为用户产生的数据这些数据不影响的操作

概述

章介绍的主要概念确定目标读者评估环境和组织材料的方法

引言

产品和系统拥有的信息是能使组织成功完成其任务的关键资源此外们也要求保护产品

和系统内的私信息的私密性可用性并防止未授权的更改当对信息进行正确控制以确保它能防止

冒险诸如不必要的或无保证的传播更改或遗失产品和系统应执行它们的功能安全用于概

括预防和缓解这些及类似的冒险

许多用户缺乏判断其产品和系统的安全性是否恰当的知识经验和资源他们并不希望仅

仅依赖开发者的声明用户可借助对产品和系统的安全分析即安全评估来增加他们对其安全措

施的信心

可用来选择恰当的安全措施它包括了评估安全求的准则

的目标读者

有三组都关心产品和系统的安全性评估的读者用户开发者和评估者中

提出的准则从文档结构上支持所有三个组的求他们都被认为是的主要使用者正如下文所述

这三个组都能从该准则中受益

用户

当用户选择安全要求来表达他们的组织求时起到重要的技术支持作用从写作安排

上确保评估满足用户的求因为这是评估过程的根本目的和理由

用户可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全求这些求通常是

风险分析和政策导向的结果分等级的保证要求使用户可以用评估结果来比较不同的产品和系统

为用户尤其是用户群和利益共同体提供一个独立于实现的框架称为保护轮廓用户在保护

轮廓里表明他们对评估对象中的安全措施的特殊求

开发者

也为开发者在准备和协助评估产品或系统以及确定每种产品和系统要满足的安全求方面提

供支持只要有一个相关的评估方法和双方对评估结果的认可协定还可以在准备和协助开发者的

评估方面支持除开发者之外的其他

结构还可以通过评估特定的安全功能和保证来声称符合特定的安全求每一个

的求都包含在一个名为安全目标的与实现相关的概念中广大用户的求由一个或多个提

供

描述的安全功能可被开发者包括在内可用来确定责任和行为以支持评估所必

要的证据它也定义证据的内容和表现形式

评估者

包含评估者判定与其安全求一致时所使用的准则用于描述评估者通常执行的一

系列行为和执行这些行为所基于的安全功能值得注意的是没有规定执行这些行动的过程

其他读者

由于面向的安全特性的规范和评估它也可以作为对安全有兴趣或有责任的所有

团体的参考资料其他能够从所包含的信息中获益的群体有

系统管理员和系统安全管理员负责确定和达到组织的安全策略和求

内部和外部审计员负责评定系统安全性能是否充分

安全规划和设计者负责规范系统和产品的安全内容

认可者负责认可一个系统在特定环境中的使用

评估发起者负责请求和支持一个评估

评估机构负责管理和监督安全评估程序

评估上下文

为了使评估结果达到更好的可比性评估应在权威的评估体制框架内执行该框架规定了标准监

控评估质量并管理评估的工具以及评估者必须遵守的规则

并不规定对管理框架的要求但是不同评估机构的管理框架必须是一致性的以使这样的评估

结果可以互认图描述了构成评估上下文的主要部分

图评估上下文

通用评估方法学有助于提供结果的可重复性和客观性但仅靠方法学身不够充分许多评估准则

要使用专家判断和一定的背景知识而这些更难达到一致为了增强评估结果的一致性最终的评估

结果应提交给一个认证过程该过程是一个针对评估结果的独立的检查过程并生成最终的证书或正式

批文该证书通常是公开的要说明的是认证过程是使得安全准则应用得到更好一致性的一种手

段

评估体制方法学和认证过程是管理评估体制的评估机构的责任不属的范围

的文档组织

由一系列不同但又相互关联的部分组成这些部分描述中所用的术语在第章解释

第部分简介和一般模型是的简介它定义了安全评估的一般概念和原理并提出了

评估的一般模型第部分也提出了若干结构这些结构可用于表达安全目的用于选择和定义

安全要求以及用于书写产品和系统的高层次规范另外每一部分都针对该部分目标读者来陈述

第部分安全功能要求建立一系列功能组件作为表达功能要求的标准方法第部分

列出了一系列功能组件子类和类

第部分安全保证要求建立一系列保证组件作为表达保证要求的标准方法第部分

列出一系列保证组件子类和类第部分也定义了和的评估准则并提出了评估保证级即定

义了评定保证的预定义尺度这被称为评估保证级

为支持上面所列的的三个部分将出版其他类型的文档包括技术上的基原理和指导文档

表列出了主要的三组读者及其可能感兴趣的内容

表使用指南

用户开发者评估者

用于了解背景信息和参用于了解背景信息开发安全要求用于了解背景信息和参考和的指

第部分

考的指导性结构和形成的安全规范的参考导性结构

在阐明安全功能要求的用于解释功能要求和生成功当确定是否有效地符合已声明的安

第部分

描述时用作指导和参考能规范的参考全功能时用作评估准则的强制性描述

用于指导保证求级别当解释保证要求描述和确定当确定的保证和评估和时

第部分

的确定的保证措施时用作参考用作评估准则的强制描述

一般模型

章提出了贯穿使用的一般概念其中也包括使用这些概念的上下文以及使用这些概念

的方法第部分或第部分在使用这些概念的基础上进一步展开并假设使用了章描述的方法

章假定读者已具备安全的一些知识并非作为该领域的教材

用一系列安全性概念和术语来讨论安全性对这些概念和术语的理解是有效运用的前提条

件但是这些概念身又是相当通用的无意将这类安全的问题于应用

安全上下文

一般安全上下文

安全涉及保护资产不受威胁威胁可依据滥用被保护资产的可能性进行分类应该考虑所有的威胁

类型但在安全领域内与恶意的或其他类活动相关的威胁应给予更多的重视图说明了高层次

概念和关系

图安全概念和关系

保护关注的资产是那些对资产赋予价值的所有者的责任实际或假定的威胁主体对资产也赋予了

一定的价值并希望以违背所有者初衷的方式滥用资产所有者将会意识到这种威胁可能致使资产损

坏对所有者而言资产中的价值将会降低安全性损坏一般包括但又不仅包括以下几项资产破坏性地

暴露于未授权的接收者丧失保密性资产由未授权地更改而损坏丧失完整性或资产的访问权被未

授权地剥夺丧失可用性

资产所有者应分析可能的威胁并确定哪些存在于他们的环境其结果就是风险这种分析会