GB/T 18336.1-2001
基本信息
标准号: GB/T 18336.1-2001
中文名称:信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型
标准类别:国家标准(GB)
标准状态:已作废
发布日期:2001-03-08
实施日期:2001-12-01
作废日期:2008-11-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:1290509
标准分类号
标准ICS号:信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:电子元器件与信息技术>>信息处理技术>>L70信息处理技术综合
出版信息
出版社:中国标准出版社
书号:155066.1-17785
页数:平装16开, 页数:33, 字数:36千字
标准价格:16.0 元
出版日期:2001-11-01
相关单位信息
首发日期:2001-03-08
复审日期:2004-10-14
起草人:吴世忠、龚奇敏、陈晓桦、李守鹏、罗建中、方关宝、吴亚飞、雷利民、张建军
起草单位:中国国家信息安全测评认证中心、信息产业部电子第30研究所
归口单位:全国信息技术标准化技术委员会
提出单位:国家质量技术监督局
发布部门:国家质量技术监督局
主管部门:国家标准化管理委员会
标准简介
内容详见本标准。 GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型 GB/T18336.1-2001 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T18336.1—2001
idtIS0/IEC15408-1:1999
信息技术安全技术
信息技术安全性评估准则
第1部分:简介和一般模型
Information technology-Security techniques-Evaluationcriteria for IT securityPart 1:Introduction and general model2001-03-08发布
2001-12-01实施
国家质量技术监督局
GB/T18336.1—2001
iiKAoNhiKAca-
本标准等同采用国际标准ISO/EC15408-1:1999《信息技术安全技术信息技术安全性评估准第1部分:简介和一般模型》。
本标准介绍了信息技术安全性评估的基本概念并给出了信息技术安全性评估的一般模型,并在附录B和附录C分别介绍了“保护轮廓”和“安全目标”。GB/T18336在总标题《信息技术安全技术信息技术安全性评估准则》下,由以下几个部分组成:
第1部分:简介和一般模型
一第2部分:安全功能要求
第3部分:安全保证要求
本标准的附录A和附录D是提示的附录。本标准的附录B和附录C是标准的附录。本标准由国家质量技术监督局提出。本标准由全国信息技术标准化技术委员会归口。本标准由中国国家信息安全测评认证中心、信息产业部电子第30研究所、国家信息中心、复旦大学负责起草。
本标准主要起草人:吴世忠、龚奇敏、陈晓桦、李守鹏、罗建中、方关宝、李鹤田、吴亚飞、雷利民、叶红、吴承荣、黄元飞、任卫红、崔玉华。本标准委托中国国家信息安全测评认证中心负责解释。I
GB/T18336.1—2001
ISO/IEC前言
ISO(国际标准化组织)和IEC(国际电工委员会)形成了全世界标准化的专门体系。作为ISO或IEC成员的国家机构,通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定。ISO和IEC技术委员会在共同关心的领域里合作,其他与ISO和IEC有联系的政府和非政府的国际组织也参加了该项工作。
国际标准的起草符合ISO/IEC导则第3部分的原则。在信息技术领域,ISO和IEC已经建立了二个联合技术委员会ISO/IECJTC1。联合技术委员会采纳的国际标准草案分发给国家机构投票表决。作为国际标准公开发表,需要至少75%的国家机构投赞成票。
国际标准ISO/EC15408-1是由联合技术委员会ISO/IECJTC1(信息技术)与通用准则项目发起组织合作产生的。与ISO/IEC15408-1同样的文本由通用准则项目发起组织作为《信息技术安全性评估通用准则》发表。有关通用准则项目的更多信息和发起组织的联系信息由ISO/IEC15408-1的附录A提供。
ISO/IEC15408在“信息技术——安全技术一一信息技术安全性评估准则”的总标题下,由以下几部分组成:
第1部分:简介和般模型
第2部分:安全功能要求
第3部分:安全保证要求
附录B和附录C构成ISO/IEC15408本部分的规范部分,附录A和附录D仅供参考。以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分:在ISO/IEC15408-1附录A中标明的七个政府组织(总称为通用准则发起组织),作为《信息技术安全性评估通用准则》第1至第3部分(称为“CC”)版权的共同所有者,在此特许ISO/IEC在开发ISO/IEC15408国际标准中,非排他性地使用CC。但是,通用准则发起组织在他们认为适当时保留对CC的使用、拷贝、分发以及修改的权利。1范围
中华人民共和国国家标准
信息技术安全技术
信息技术安全性评估准则
第1部分:简介和一般模型
InformationtechnologySecuritytechniquesEvaluation criteria for IT securityPart 1Introduction and general modeliiKAoNhiKAca-
GB/T18336.1—2001
idtIS0/IEC15408-1:1999
GB/T18336定义了作为评估信息技术产品和系统安全特性的基础准则,由于历史和连续性的原因,仍叫通用准则(cc一CommonCriteria))。通过建立这样的通用准则库,使信息技术安全评估的结果能被更多的人理解。
针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施,CC提供了一组通用要求,使各种独立的安全评估结果具有可比性。评估过程为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别。评估结果可以帮助用户确定信息技术产品和系统对他们的应用而言是否足够安全,以及在使用中隐藏的安全风险是否可以容忍。CC可用于具有信息技术安全功能的产品和系统的开发与采购指南。在评估过程中,这样的产品和系统被称为评估对象(TOE
用等。
一TargetofEvaluation),如:操作系统,计算机网络、分布式系统以及应CC涉及信息保护,以避免未经授权的信息泄露、修改和无法使用,与此对应的保护类型通常分别称之为保密性、完整性和可用性。除上述三个方面外,CC还适用于信息安全的其他方面。CC重点考虑人为的信息威胁,无论其是否是恶意的。但CC也可用于非人为因素导致的威胁。此外,CC还可适用于其他信息技术领域,但对严格意义上信息技术安全之外的领域,CC不做承诺。CC适用于硬件、固件和软件实现的信息技术安全措施,当一些特定的评估仅适用于某些实现方法时,这一点将在相关的准则说明中注明。某些内容因涉及特殊的专业技术或仅是信息技术安全的外围技术,不在CC的范围内,例如:a)cc不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全评估准则。但是,应该认识到TOE安全的重要部分是通过诸如组织的、个人的、物理的、程序的监控等行政性管理安全措施来实现的。当行政性管理安全措施影响到信息技术安全措施对抗确定威胁的能力时,这类管理安全措施在TOE的运行环境中被认为是TOE安全使用的前提条件。b)对于信息技术安全性的物理方面(诸如电磁辐射控制)的评估,虽然CC的许多概念是适用的,但并不专门针对该领域,然而也会专门涉及TOE物理保护的一些方面。c)CC并不涉及评估方法学,也不涉及评估机构使用本规则的管理模式或法律框架,但希望CC能在具有这样的框架和方法论的环境中用于评估。d)评估结果用于产品和系统认可的过程不属于CC的范围。产品和系统的认可是行政性的管理过国家质量技术监督局2001-03-08批准2001-12-01实施
GB/T18336.1—2001
程,据此授权信息技术产品和系统在其整个运行环境中投入使用。评估集中于产品和系统的信息技术安全部分,以及直接影响到安全使用信息技术要素的那些运行环境,因而评估结果是认可过程的有效依据。但是,当其他技术更适合于评价非信息技术相关的系统或产品的安全特性及其与信息技术安全部分的关系,认可者应分别作出这些方面的认可。e)CC不包括密码算法固有质量评价准则。如果需要对嵌入TOE的密码数学特性进行单独的评价,则在使用CC的评估体制中必须提供这样的评价。2引用标准
下列标准所包括的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB/T9387.2-1995
信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idtISo7498-21989)
3定义
3.1通用缩略语
以下缩略语在CC各部分中通用:cc:
EAL:
SFP:
TOE:
TSC:
TSF:
TSFI:
TSP:
通用准则(CommonCriteria)
评估保证级(EvaluationAssuranceLevel)信息技术(InformationTechnology)保护轮摩(ProtectionProfile)安全功能(SecurityFunction)安全功能策略(SecurityFunctionPolicy)功能强度(StrengthofFunction)安全目标(SecurityTarget)
评估对象(TargetofEvaluation)TSF控制范围(TSFScopeofControl)ToE安全功能(ToESecurityFunctions)TSF接(TSFInterface)
TOE安全策略(TOESecurityPolicy)3.2术语表的范围
本条只收录在CC中有特殊用法的术语。在CC中使用的大多数术语,或根据普遍接受的词典定义,或根据普遍接受的ISO或GB安全术语定义,或根据熟知的安全性术语定义。在CC中一些不便于定义的、由通用术语组合成的复合词,将在使用他们的地方进行解释。在GB/T18336第2部分和第3部分的“范例”章条中可以见到术语和概念的解释。3.3术语表
3.3.1资产assets
由TOE安全策略保护的信息或资源。3.3.2赋值assignment
规定组件中的一个特定参数。
3.3.3保证assurance
实体达到其安全性目的的信任基础。3.3.4攻击潜力attackpotential2
GB/T18336.1—2001
-iiKAoNniKAca-
可察觉的成功实施攻击的可能性,如果发起攻击,其程度用攻击者的专业水平、资源和动机来表示。3.3.5增强augmentation
将GB/T18336第3部分若干个保证组件加入到EAL或保证包中。3.3.6鉴别数据authenticationdata用于验证用户所声称身份的信息。3.3.7授权用户authoriseduser
依据TSP可以执行某项操作的用户。3.3.8类class
具有共同目的的子类的集合。
3.3.9组件component
可包含在PP、ST或一个包中的最小可选元素集。3.3.10连通性connectivity
允许与TOE之外的IT实体进行交互的TOE特性,包括在任何环境和配置下通过任意距离的有线或无线方式的数据交换。
3.3.11依赖关系dependency
各种要求之间的关系,种要求要达到其目的必须依赖另一种要求的满足。3.3.12元素element
不可再分的安全要求。
3.3.13评估evaluation
依据确定的准则,对PP、ST或TOE的评价。3.3.14评估保证级evaluationassuranceelevelEAI
由GB/T18336第3部分中保证组件构成的包,该包代表了cC预先定义的保证尺度上的某个位置。
3.3.15评估管理机构evaluationauthority依据评估体制,在特定团体中贯彻CC、确定标准和监督团体内各种评估质量的管理机构。3.3.16评估体制evaluationscheme指导评估管理机构在特定团体中使用CC的管理与法定框架。3.3.17扩展extension
把不包括在GB/T18336第2部分中的功能要求或第3部分中的保证要求增加到ST或PP中。3.3.18外部IT实体externalITentity在TOE之外与其交互的任何可信或不可信的IT产品或系统。3.3.19子类family
组具有共同安全目的,但侧重点或严格性可能不同的组件的集合。3.3.20形式化formal
在完备数学概念基础上,采用具有确定语义并有严格语法的语言表达的。3.3.21个人用户humanuser
与TOE交互的任何个人。
3.3.22身份identity
能唯一标识一个授权用户的表示(比如字符串),它可以是全名、缩写名或假名。3.3.23非形式化informal
采用自然语言表达的。
3.3.24内部通信信道internalcommunicationchannelTOE中各分离部分间的通信信道。3
GB/T18336.1—2001
3.3.25TOE内部传送internalTOEtransferTOE中各分离部分之间的数据通信。3.3.26TSF间传送inter-TSFtransferTOE与其它可信IT产品安全功能之间的数据通信。3.3.27反复iteration
个组件在不同操作中多次使用。3.3.28客体object
在TSC中由主体操作的、包含或接收信息的实体。3.3.29组织安全策略organisational securitypolicies组织为保障其运转而规定的若干安全规则、过程、规范和指南。3.3.30包package
为了满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件(如EAL)。3.3.31产品product
IT软件、固件或硬件的包,其功能用于或组合到多种系统中。3.3.32保护轮廓protectionprofile;PP满足特定用户需求,与类TOE实现无关的一组安全要求。3.3.33参照监视器referencemonitor执行TOE访问控制策略的抽象机概念。3.3.34参照确认机制referencevalidationmechanism具有以下特性的参照监视器概念的一种实现:防篡改、直运行、简单到能对其进行彻底的分析和测试。
3.3.35细化refinement
为组件添加细节。
3.3.36角色role
组预先确定的规则,规定在用户和TOE之间许可的交互。3.3.37秘密secret
为了执行特定SFP,必须只能有授权用户或TSF才知晓的信息。3.3.38安全属性securityattribute用于执行TSP的与主体,用户或客体相关的信息3.3.39安全功能securityfunction,SF为执行TSP中一组紧密相关的规则子集而必须依赖的部分TOE。3.3.40安全功能策略securityfunctionpolicy;SFPSF执行的安全策略。
3.3.41安全目的securityobjective意在对抗特定的威胁、满足特定的组织安全策略和假设的陈述。3.3.42安全目标securitytarget;ST作为指定的TOE评估基础的一组安全要求和规范。3.3.43选择selection
从组件的项目表中指定一项或几项。3.3.44半形式化semiformal
采用具有确定语义并有严格语法的语言表达的。3.3.45功能强度strengthoffunction;SOFTOE安全功能的一种指标,表示通过直接攻击其基础安全机制,攻破所设计的安全功能所需要的4
最小代价。
3.3.46基本级功能强度SOF-basicGB/T18336.1—2001
iiKAoNhiKAca-
种TOE功能强度级别,分析表明本级别安全功能足够对抗低潜力攻击者对TOE安全的偶发攻击。
3.3.47中级功能强度SOF-medium种TOE功能强度级别,分析表明本级别安全功能足够对抗中等潜力攻击者对TOE安全直接或故意的攻击。
3.3.48高级功能强度SOF-high
种TOE功能强度级别,分析表明本级别安全功能足够对抗高等潜力攻击者对TOE安全有计划、有组织的攻击。
3.3.49主体subject
在TSC中实施操作的实体。
3.3.50系统system
具有特定目的和运行环境的专用IT装置。3.3.51评估对象targetof evaluation;TOE作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。3.3.52TOE资源TOEresource
TOE中可用或可消耗的所有东西。3.3.53TOE安全功能TOEsecurityfunctionTSF正确执行TSP所必须依赖的TOE全部硬件、软件和固件的集合。3.3.54TOE安全功能接TOEsecurityfunctioninterface;TSFI组交互式(人机接或编程(应用编程接口)接口,通过它,TSF访问、调配TOE资源,或者从TSF中获取信息。
3.3.55TOE安全策略TOEsecuritypolicy;TSP规定TOE中资产管理、保护和分配的一组规则3.3.56TOE安全策略模型TOEsecuritypolicymodelTOE执行的安全策略的结构化表示。3.3.57TSF控制外传送transfersoutsideTSFcontrol与不受TSF控制的实体交换数据。3.3.58可信信道trustedchannelTSF和远程可信IT产品间的一种通信方式,该方式对TSP的支持具有必要的置信度。3.3.59可信路径trustedpath
用户和TSF间的一种通信方式,该方式对TSP的支持具有必要的置信度。3.3.60TSF数据TSFdataWww.bzxZ.net
TOE产生的或为TOE产生的数据,这些数据可能会影响TOE的操作。3.3.61TSF控制范围TSFscopeofcontrolTSC可与TOE或在TOE中发生的并服从TSP规则的交互集合。3.3.62用户user
在TOE之外与TOE交互的任何实体(个人用户或外部IT实体)。3.3.63用户数据userdata
由用户产生或为用户产生的数据,这些数据不影响TSF的操作。5
4概述
GB/T18336.1—2001
本章介绍CC的主要概念,确定目标读者、评估环境和组织材料的方法。4.1引言
T产品和系统拥有的信息是能使组织成功完成其任务的关键资源。此外,人们也要求保护T产品和系统内的私人信息的私密性、可用性,并防止未授权的更改。当对信息进行正确控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能。“IT安全”用于概括预防和缓解这些及类似的冒险。许多IT用户缺乏判断其IT产品和系统的安全性是否恰当的知识,经验和资源,他们并不希望仅仅依赖开发者的声明。用户可借助对IT产品和系统的安全分析(即安全评估)来增加他们对其安全措施的信心。
CC可用来选择恰当的IT安全措施,它包括了评估安全需求的准则。4.2CC的目标读者
有三组都关心IT产品和系统的安全性评估的读者:TOE用户、TOE开发者和TOE评估者。CC中提出的准则从文档结构上支持所有三个组的需求,他们都被认为是CC的主要使用者。正如下文所述,这三个组都能从该准则中受益。4.2.1用户
当用户选择IT安全要求来表达他们的组织需求时,CC起到重要的技术支持作用。CC从写作安排上确保评估满足用户的需求,因为这是评估过程的根本目的和理由。用户可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全需求,这些需求通常是风险分析和政策导向的结果。分等级的保证要求,使用户可以用评估结果来比较不同的产品和系统。CC为用户,尤其是用户群和利益共同体,提供一个独立于实现的框架,称为保护轮廓,用户在保护轮廓里表明他们对评估对象中的IT安全措施的特殊需求。4.2.2开发者
CC也为开发者在准备和协助评估产品或系统以及确定每种产品和系统要满足的安全需求方面提供支持。只要有一个相关的评估方法和双方对评估结果的认可协定,CC还可以在准备和协助开发者的TOE评估方面支持除TOE开发者之外的其他人。CC结构还可以通过评估特定的安全功能和保证来声称TOE符合特定的安全需求。每一个TOE的需求都包含在一个名为安全目标(ST)的与实现相关的概念中,广大用户的需求由一个或多个PP提供。
CC描述的安全功能可被开发者包括在TOE内。CC可用来确定责任和行为以支持TOE评估所必要的证据,它也定义证据的内容和表现形式。4.2.3评估者
CC包含评估者判定TOE与其安全需求一致时所使用的准则。CC用于描述评估者通常执行的一系列行为和执行这些行为所基于的安全功能。值得注意的是CC没有规定执行这些行动的过程。4.2.4其他读者
由于CC面向TOE的IT安全特性的规范和评估,它也可以作为对IT安全有兴趣或有责任的所有团体的参考资料。其他能够从CC所包含的信息中获益的群体有:a)系统管理员和系统安全管理员:负责确定和达到组织的IT安全策略和需求。b)内部和外部审计员:负责评定系统安全性能是否充分。c)安全规划和设计者:负责规范IT系统和产品的安全内容。d)认可者:负责认可一个T系统在特定环境中的使用。e)评估发起者:负责请求和支持一个评估。6
GB/T18336.1—2001
f)评估机构:负责管理和监督IT安全评估程序。4.3评估上下文
iiKAoNhiKAca-
为了使评估结果达到更好的可比性,评估应在权威的评估体制框架内执行,该框架规定了标准、监控评估质量并管理评估的工具,以及评估者必须遵守的规则。CC并不规定对管理框架的要求,但是不同评估机构的管理框架必须是一致性的,以使这样的评估结果可以互认。图4.1描述了构成评估上下文的主要部分。评范划
(流用准则)
语仿古学
平站体制
激评情
批性,议证”
图4.1评估上下文
正刻丧,
通用评估方法学有助于提供结果的可重复性和客观性,但仅靠方法学本身不够充分。许多评估准则需要使用专家判断和一定的背景知识,而这些更难达到一致。为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估结果的独立的检查过程,并生成最终的证书或正式批文,该证书通常是公开的。要说明的是,认证过程是使得安全准则应用得到更好一致性的一种手段。
评估体制、方法学和认证过程是管理评估体制的评估机构的责任,不属CC的范围。4.4CC的文档组织
CC由一系列不同但又相互关联的部分组成,这些部分描述中所用的术语在第5章解释。a)第1部分:简介和一般模型,是CC的简介。它定义了IT安全评估的一般概念和原理,并提出了评估的一般模型。第1部分也提出了若干结构,这些结构可用于表达IT安全目的,用于选择和定义IT安全要求,以及用于书写产品和系统的高层次规范。另外,CC每一部分都针对该部分目标读者来陈述。b)第2部分:安全功能要求,建立一系列功能组件作为表达TOE功能要求的标准方法。第2部分列出了一系列功能组件、子类和类。c)第3部分:安全保证要求,建立一系列保证组件作为表达TOE保证要求的标准方法。第3部分列出一系列保证组件、子类和类。第3部分也定义了PP和ST的评估准则,并提出了评估保证级,即定义了评定TOE保证的CC预定义尺度,这被称为评估保证级。为支持上面所列的CC的三个部分,将出版其他类型的文档,包括技术上的基本原理和指导文档。表4.1列出了主要的三组读者及其可能感兴趣的CC内容。表4.1CC使用指南
第1部分
第2部分
第3部分
用于了解背景信息和参
考。PP 的指导性结构。
在阐明安全功能要求的
描述时用作指导和参考。
用于指导保证需求级别
的确定。
开发者
评估者
用于了解背景信息和参考。PP和ST的指用于了解背景信息,开发安全要求和形成TOE的安全规范的参考。
用于解释功能要求和生成TOE功
能规范的参考。
当解释保证要求描述和确定TOE
的保证措施时,用作参考。
导性结构。
当确定TOE是否有效地符合已声明的安全功能时,用作评估准则的强制性描述。当确定TOE的保证和评估PP和ST时,用作评估准则的强制描述。
5一般模型
GB/T18336.1—2001
本章提出了贯穿CC使用的一般概念,其中也包括使用这些概念的上下文,以及CC使用这些概念的方法。第2部分或第3部分在使用这些概念的基础上进一步展开,并假设使用了本章描述的方法。本章假定读者已具备IT安全的一些知识,并非作为该领域的教材。CC用一系列安全性概念和术语来讨论安全性。对这些概念和术语的理解是有效运用CC的前提条件。但是,这些概念本身又是相当通用的,无意将这类IT安全的问题限于CC应用。5.1安全上下文
5.1.1一般安全上下文
安全涉及保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类。应该考虑所有的威助类型,但在安全领域内,与恶意的或其他人类活动相关的威胁应给予更多的重视。图5.1说明了高层次概念和关系。
蛎有者
希望最小化
可的效球少
可指意识划
或助主体
可龄具有
图5.1安全概念和关系
保护关注的资产是那些对资产赋予价值的所有者的责任。实际或假定的威胁主体对资产也赋予了一定的价值,并希望以违背所有者初衷的方式用资产。所有者将会意识到这种威胁可能致使资产损坏,对所有者而言资产中的价值将会降低。安全性损坏般包括但又不仅包括以下几项:资产破坏性地暴露于未授权的接收者(丧失保密性),资产由未授权地更改而损坏(丧失完整性),或资产的访问权被未授权地剥夺(丧失可用性)。
资产所有者应分析可能的威胁并确定哪些存在于他们的环境,其结果就是风险。这种分析会有助于对策的选择,以应对风险并将其降低到一个可接受的水平。对策用以减少脆弱性并满足资产所有者的安全策略(直接或间接的为其他部分提供引导)。在对策使用后仍会有残留的脆弱性,这些残留的脆弱性仍可以被威胁者利用,从而造成了资产的残余风险。资产所有者会通过给出其他的约束来寻求最小的残余风险。在资产所有者将其资产暴露于特定威胁之前,所有者需要确信其对策足以应付面临的威胁。所有者自已可能没有能力对对策的所有方面加以判断,但可以寻求对对策的评估。评估结果是对保证性可达到程度的描述,即信任对策能用于降低所保护资产的风险。该描述还将对策的保证性进行分级。保证性是对策的特性,这种特性是信任正确操作的基础。资产所有者可以根据此描述决定是否接受将资产暴露给威胁所冒的风险。图5.2说明了这种关系。8
保证技
GB/T18336.1—2001
严生来江样
所有者
辟出证据
最本化
图5.2评估概念和关系
-iiKAoNniKAca
通常,资产所有者应当对资产负责,并应能对作出接受暴露资产于威胁前的决定进行论证。这就需要上述评估结果是可以论证的。那么,评估应产生客观的、可重复的可被引用作证据的结论。5.1.2信息技术安全环境
许多资产是以信息的形式被IT产品或系统所储存、处理和传送,以满足信息所有者的需求。信息所有者可能会要求严格控制任何对此类信息数据的传播和修改。他们可能会要求IT产品或系统实现某些专门的IT安全控制,作为所采用的对付数据威胁的部分对策。为了满足特定的需要而获取和建造IT系统,出于经济上的原因,往往充分利用现有(常用的)IT产品,如操作系统、通用组件和硬件平台。一个系统实现的IT安全对策可能利用低层IT产品的功能,并依赖于对IT产品安全功能的正确操作,所以IT产品评估也可以作为IT系统安全评估的一部分。当一个IT产品可以集成到(或被考虑集成到)多个IT系统时,该产品安全方面的评估可独立进行,并建立一个被评估的产品目录,这样做更经济。这种评估的结果应支持产品在多个T系统中的应用,避免不同系统中为检查产品的安全性进行不必要的重复工作。个IT系统的认可者在确定IT和非IT对策是否为数据提供了适当保护方面,与信息所有者的权力相当,并可决定是否允许系统运行。该认可者可以要求对IT对策进行评估,以确定IT对策是否提供充分的保护,以及指定的对策是否被IT系统正确实现。这类评估可以采取不同的形式和严格程度,这取决于所使用的规则或认可者。5.2CC方法
对T安全性的信任是通过开发、评估和操作过程中的各种措施获得的。5.2.1开发
CC不规定任何特定的开发方法和生命周期模型。图5.3描述了安全要求和评估对象之间关系的基本假设。该图用于提供讨论的基础,不应理解为某一种方法(如瀑布法)比另一种方法(如原型法)更优越。
重要的是,在开发阶段建立的安全要求对满足用户的安全目的意义重大。除非在开发过程的开始阶段确定合适的需求,否则即便用再好的工程方法,其最终产品也不能达到预期用户的目的。该过程的基础是将安全要求细化为安全目标中的TOE概要规范。每个低层次的细化代表具有更为详细设计的设计分解。最低的抽象表示是TOE实现本身。CC并不规定一套专有的设计表示方法。CC的要求应有充分的设计表达方法,该方法应在需要时以足够详细的程度表明:
a)每个层次的细化是更高层次的完全实例化(这就是说,所有TOE的高层次抽象定义的安全功9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T18336.1—2001
idtIS0/IEC15408-1:1999
信息技术安全技术
信息技术安全性评估准则
第1部分:简介和一般模型
Information technology-Security techniques-Evaluationcriteria for IT securityPart 1:Introduction and general model2001-03-08发布
2001-12-01实施
国家质量技术监督局
GB/T18336.1—2001
iiKAoNhiKAca-
本标准等同采用国际标准ISO/EC15408-1:1999《信息技术安全技术信息技术安全性评估准第1部分:简介和一般模型》。
本标准介绍了信息技术安全性评估的基本概念并给出了信息技术安全性评估的一般模型,并在附录B和附录C分别介绍了“保护轮廓”和“安全目标”。GB/T18336在总标题《信息技术安全技术信息技术安全性评估准则》下,由以下几个部分组成:
第1部分:简介和一般模型
一第2部分:安全功能要求
第3部分:安全保证要求
本标准的附录A和附录D是提示的附录。本标准的附录B和附录C是标准的附录。本标准由国家质量技术监督局提出。本标准由全国信息技术标准化技术委员会归口。本标准由中国国家信息安全测评认证中心、信息产业部电子第30研究所、国家信息中心、复旦大学负责起草。
本标准主要起草人:吴世忠、龚奇敏、陈晓桦、李守鹏、罗建中、方关宝、李鹤田、吴亚飞、雷利民、叶红、吴承荣、黄元飞、任卫红、崔玉华。本标准委托中国国家信息安全测评认证中心负责解释。I
GB/T18336.1—2001
ISO/IEC前言
ISO(国际标准化组织)和IEC(国际电工委员会)形成了全世界标准化的专门体系。作为ISO或IEC成员的国家机构,通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定。ISO和IEC技术委员会在共同关心的领域里合作,其他与ISO和IEC有联系的政府和非政府的国际组织也参加了该项工作。
国际标准的起草符合ISO/IEC导则第3部分的原则。在信息技术领域,ISO和IEC已经建立了二个联合技术委员会ISO/IECJTC1。联合技术委员会采纳的国际标准草案分发给国家机构投票表决。作为国际标准公开发表,需要至少75%的国家机构投赞成票。
国际标准ISO/EC15408-1是由联合技术委员会ISO/IECJTC1(信息技术)与通用准则项目发起组织合作产生的。与ISO/IEC15408-1同样的文本由通用准则项目发起组织作为《信息技术安全性评估通用准则》发表。有关通用准则项目的更多信息和发起组织的联系信息由ISO/IEC15408-1的附录A提供。
ISO/IEC15408在“信息技术——安全技术一一信息技术安全性评估准则”的总标题下,由以下几部分组成:
第1部分:简介和般模型
第2部分:安全功能要求
第3部分:安全保证要求
附录B和附录C构成ISO/IEC15408本部分的规范部分,附录A和附录D仅供参考。以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分:在ISO/IEC15408-1附录A中标明的七个政府组织(总称为通用准则发起组织),作为《信息技术安全性评估通用准则》第1至第3部分(称为“CC”)版权的共同所有者,在此特许ISO/IEC在开发ISO/IEC15408国际标准中,非排他性地使用CC。但是,通用准则发起组织在他们认为适当时保留对CC的使用、拷贝、分发以及修改的权利。1范围
中华人民共和国国家标准
信息技术安全技术
信息技术安全性评估准则
第1部分:简介和一般模型
InformationtechnologySecuritytechniquesEvaluation criteria for IT securityPart 1Introduction and general modeliiKAoNhiKAca-
GB/T18336.1—2001
idtIS0/IEC15408-1:1999
GB/T18336定义了作为评估信息技术产品和系统安全特性的基础准则,由于历史和连续性的原因,仍叫通用准则(cc一CommonCriteria))。通过建立这样的通用准则库,使信息技术安全评估的结果能被更多的人理解。
针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施,CC提供了一组通用要求,使各种独立的安全评估结果具有可比性。评估过程为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别。评估结果可以帮助用户确定信息技术产品和系统对他们的应用而言是否足够安全,以及在使用中隐藏的安全风险是否可以容忍。CC可用于具有信息技术安全功能的产品和系统的开发与采购指南。在评估过程中,这样的产品和系统被称为评估对象(TOE
用等。
一TargetofEvaluation),如:操作系统,计算机网络、分布式系统以及应CC涉及信息保护,以避免未经授权的信息泄露、修改和无法使用,与此对应的保护类型通常分别称之为保密性、完整性和可用性。除上述三个方面外,CC还适用于信息安全的其他方面。CC重点考虑人为的信息威胁,无论其是否是恶意的。但CC也可用于非人为因素导致的威胁。此外,CC还可适用于其他信息技术领域,但对严格意义上信息技术安全之外的领域,CC不做承诺。CC适用于硬件、固件和软件实现的信息技术安全措施,当一些特定的评估仅适用于某些实现方法时,这一点将在相关的准则说明中注明。某些内容因涉及特殊的专业技术或仅是信息技术安全的外围技术,不在CC的范围内,例如:a)cc不包括那些与信息技术安全措施没有直接关联的属于行政性管理安全措施的安全评估准则。但是,应该认识到TOE安全的重要部分是通过诸如组织的、个人的、物理的、程序的监控等行政性管理安全措施来实现的。当行政性管理安全措施影响到信息技术安全措施对抗确定威胁的能力时,这类管理安全措施在TOE的运行环境中被认为是TOE安全使用的前提条件。b)对于信息技术安全性的物理方面(诸如电磁辐射控制)的评估,虽然CC的许多概念是适用的,但并不专门针对该领域,然而也会专门涉及TOE物理保护的一些方面。c)CC并不涉及评估方法学,也不涉及评估机构使用本规则的管理模式或法律框架,但希望CC能在具有这样的框架和方法论的环境中用于评估。d)评估结果用于产品和系统认可的过程不属于CC的范围。产品和系统的认可是行政性的管理过国家质量技术监督局2001-03-08批准2001-12-01实施
GB/T18336.1—2001
程,据此授权信息技术产品和系统在其整个运行环境中投入使用。评估集中于产品和系统的信息技术安全部分,以及直接影响到安全使用信息技术要素的那些运行环境,因而评估结果是认可过程的有效依据。但是,当其他技术更适合于评价非信息技术相关的系统或产品的安全特性及其与信息技术安全部分的关系,认可者应分别作出这些方面的认可。e)CC不包括密码算法固有质量评价准则。如果需要对嵌入TOE的密码数学特性进行单独的评价,则在使用CC的评估体制中必须提供这样的评价。2引用标准
下列标准所包括的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。GB/T9387.2-1995
信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idtISo7498-21989)
3定义
3.1通用缩略语
以下缩略语在CC各部分中通用:cc:
EAL:
SFP:
TOE:
TSC:
TSF:
TSFI:
TSP:
通用准则(CommonCriteria)
评估保证级(EvaluationAssuranceLevel)信息技术(InformationTechnology)保护轮摩(ProtectionProfile)安全功能(SecurityFunction)安全功能策略(SecurityFunctionPolicy)功能强度(StrengthofFunction)安全目标(SecurityTarget)
评估对象(TargetofEvaluation)TSF控制范围(TSFScopeofControl)ToE安全功能(ToESecurityFunctions)TSF接(TSFInterface)
TOE安全策略(TOESecurityPolicy)3.2术语表的范围
本条只收录在CC中有特殊用法的术语。在CC中使用的大多数术语,或根据普遍接受的词典定义,或根据普遍接受的ISO或GB安全术语定义,或根据熟知的安全性术语定义。在CC中一些不便于定义的、由通用术语组合成的复合词,将在使用他们的地方进行解释。在GB/T18336第2部分和第3部分的“范例”章条中可以见到术语和概念的解释。3.3术语表
3.3.1资产assets
由TOE安全策略保护的信息或资源。3.3.2赋值assignment
规定组件中的一个特定参数。
3.3.3保证assurance
实体达到其安全性目的的信任基础。3.3.4攻击潜力attackpotential2
GB/T18336.1—2001
-iiKAoNniKAca-
可察觉的成功实施攻击的可能性,如果发起攻击,其程度用攻击者的专业水平、资源和动机来表示。3.3.5增强augmentation
将GB/T18336第3部分若干个保证组件加入到EAL或保证包中。3.3.6鉴别数据authenticationdata用于验证用户所声称身份的信息。3.3.7授权用户authoriseduser
依据TSP可以执行某项操作的用户。3.3.8类class
具有共同目的的子类的集合。
3.3.9组件component
可包含在PP、ST或一个包中的最小可选元素集。3.3.10连通性connectivity
允许与TOE之外的IT实体进行交互的TOE特性,包括在任何环境和配置下通过任意距离的有线或无线方式的数据交换。
3.3.11依赖关系dependency
各种要求之间的关系,种要求要达到其目的必须依赖另一种要求的满足。3.3.12元素element
不可再分的安全要求。
3.3.13评估evaluation
依据确定的准则,对PP、ST或TOE的评价。3.3.14评估保证级evaluationassuranceelevelEAI
由GB/T18336第3部分中保证组件构成的包,该包代表了cC预先定义的保证尺度上的某个位置。
3.3.15评估管理机构evaluationauthority依据评估体制,在特定团体中贯彻CC、确定标准和监督团体内各种评估质量的管理机构。3.3.16评估体制evaluationscheme指导评估管理机构在特定团体中使用CC的管理与法定框架。3.3.17扩展extension
把不包括在GB/T18336第2部分中的功能要求或第3部分中的保证要求增加到ST或PP中。3.3.18外部IT实体externalITentity在TOE之外与其交互的任何可信或不可信的IT产品或系统。3.3.19子类family
组具有共同安全目的,但侧重点或严格性可能不同的组件的集合。3.3.20形式化formal
在完备数学概念基础上,采用具有确定语义并有严格语法的语言表达的。3.3.21个人用户humanuser
与TOE交互的任何个人。
3.3.22身份identity
能唯一标识一个授权用户的表示(比如字符串),它可以是全名、缩写名或假名。3.3.23非形式化informal
采用自然语言表达的。
3.3.24内部通信信道internalcommunicationchannelTOE中各分离部分间的通信信道。3
GB/T18336.1—2001
3.3.25TOE内部传送internalTOEtransferTOE中各分离部分之间的数据通信。3.3.26TSF间传送inter-TSFtransferTOE与其它可信IT产品安全功能之间的数据通信。3.3.27反复iteration
个组件在不同操作中多次使用。3.3.28客体object
在TSC中由主体操作的、包含或接收信息的实体。3.3.29组织安全策略organisational securitypolicies组织为保障其运转而规定的若干安全规则、过程、规范和指南。3.3.30包package
为了满足一组确定的安全目的而组合在一起的一组可重用的功能或保证组件(如EAL)。3.3.31产品product
IT软件、固件或硬件的包,其功能用于或组合到多种系统中。3.3.32保护轮廓protectionprofile;PP满足特定用户需求,与类TOE实现无关的一组安全要求。3.3.33参照监视器referencemonitor执行TOE访问控制策略的抽象机概念。3.3.34参照确认机制referencevalidationmechanism具有以下特性的参照监视器概念的一种实现:防篡改、直运行、简单到能对其进行彻底的分析和测试。
3.3.35细化refinement
为组件添加细节。
3.3.36角色role
组预先确定的规则,规定在用户和TOE之间许可的交互。3.3.37秘密secret
为了执行特定SFP,必须只能有授权用户或TSF才知晓的信息。3.3.38安全属性securityattribute用于执行TSP的与主体,用户或客体相关的信息3.3.39安全功能securityfunction,SF为执行TSP中一组紧密相关的规则子集而必须依赖的部分TOE。3.3.40安全功能策略securityfunctionpolicy;SFPSF执行的安全策略。
3.3.41安全目的securityobjective意在对抗特定的威胁、满足特定的组织安全策略和假设的陈述。3.3.42安全目标securitytarget;ST作为指定的TOE评估基础的一组安全要求和规范。3.3.43选择selection
从组件的项目表中指定一项或几项。3.3.44半形式化semiformal
采用具有确定语义并有严格语法的语言表达的。3.3.45功能强度strengthoffunction;SOFTOE安全功能的一种指标,表示通过直接攻击其基础安全机制,攻破所设计的安全功能所需要的4
最小代价。
3.3.46基本级功能强度SOF-basicGB/T18336.1—2001
iiKAoNhiKAca-
种TOE功能强度级别,分析表明本级别安全功能足够对抗低潜力攻击者对TOE安全的偶发攻击。
3.3.47中级功能强度SOF-medium种TOE功能强度级别,分析表明本级别安全功能足够对抗中等潜力攻击者对TOE安全直接或故意的攻击。
3.3.48高级功能强度SOF-high
种TOE功能强度级别,分析表明本级别安全功能足够对抗高等潜力攻击者对TOE安全有计划、有组织的攻击。
3.3.49主体subject
在TSC中实施操作的实体。
3.3.50系统system
具有特定目的和运行环境的专用IT装置。3.3.51评估对象targetof evaluation;TOE作为评估主体的IT产品及系统以及相关的管理员和用户指南文档。3.3.52TOE资源TOEresource
TOE中可用或可消耗的所有东西。3.3.53TOE安全功能TOEsecurityfunctionTSF正确执行TSP所必须依赖的TOE全部硬件、软件和固件的集合。3.3.54TOE安全功能接TOEsecurityfunctioninterface;TSFI组交互式(人机接或编程(应用编程接口)接口,通过它,TSF访问、调配TOE资源,或者从TSF中获取信息。
3.3.55TOE安全策略TOEsecuritypolicy;TSP规定TOE中资产管理、保护和分配的一组规则3.3.56TOE安全策略模型TOEsecuritypolicymodelTOE执行的安全策略的结构化表示。3.3.57TSF控制外传送transfersoutsideTSFcontrol与不受TSF控制的实体交换数据。3.3.58可信信道trustedchannelTSF和远程可信IT产品间的一种通信方式,该方式对TSP的支持具有必要的置信度。3.3.59可信路径trustedpath
用户和TSF间的一种通信方式,该方式对TSP的支持具有必要的置信度。3.3.60TSF数据TSFdataWww.bzxZ.net
TOE产生的或为TOE产生的数据,这些数据可能会影响TOE的操作。3.3.61TSF控制范围TSFscopeofcontrolTSC可与TOE或在TOE中发生的并服从TSP规则的交互集合。3.3.62用户user
在TOE之外与TOE交互的任何实体(个人用户或外部IT实体)。3.3.63用户数据userdata
由用户产生或为用户产生的数据,这些数据不影响TSF的操作。5
4概述
GB/T18336.1—2001
本章介绍CC的主要概念,确定目标读者、评估环境和组织材料的方法。4.1引言
T产品和系统拥有的信息是能使组织成功完成其任务的关键资源。此外,人们也要求保护T产品和系统内的私人信息的私密性、可用性,并防止未授权的更改。当对信息进行正确控制以确保它能防止冒险,诸如不必要的或无保证的传播、更改或遗失,IT产品和系统应执行它们的功能。“IT安全”用于概括预防和缓解这些及类似的冒险。许多IT用户缺乏判断其IT产品和系统的安全性是否恰当的知识,经验和资源,他们并不希望仅仅依赖开发者的声明。用户可借助对IT产品和系统的安全分析(即安全评估)来增加他们对其安全措施的信心。
CC可用来选择恰当的IT安全措施,它包括了评估安全需求的准则。4.2CC的目标读者
有三组都关心IT产品和系统的安全性评估的读者:TOE用户、TOE开发者和TOE评估者。CC中提出的准则从文档结构上支持所有三个组的需求,他们都被认为是CC的主要使用者。正如下文所述,这三个组都能从该准则中受益。4.2.1用户
当用户选择IT安全要求来表达他们的组织需求时,CC起到重要的技术支持作用。CC从写作安排上确保评估满足用户的需求,因为这是评估过程的根本目的和理由。用户可以用评估结果来决定一个已评估的产品和系统是否满足他们的安全需求,这些需求通常是风险分析和政策导向的结果。分等级的保证要求,使用户可以用评估结果来比较不同的产品和系统。CC为用户,尤其是用户群和利益共同体,提供一个独立于实现的框架,称为保护轮廓,用户在保护轮廓里表明他们对评估对象中的IT安全措施的特殊需求。4.2.2开发者
CC也为开发者在准备和协助评估产品或系统以及确定每种产品和系统要满足的安全需求方面提供支持。只要有一个相关的评估方法和双方对评估结果的认可协定,CC还可以在准备和协助开发者的TOE评估方面支持除TOE开发者之外的其他人。CC结构还可以通过评估特定的安全功能和保证来声称TOE符合特定的安全需求。每一个TOE的需求都包含在一个名为安全目标(ST)的与实现相关的概念中,广大用户的需求由一个或多个PP提供。
CC描述的安全功能可被开发者包括在TOE内。CC可用来确定责任和行为以支持TOE评估所必要的证据,它也定义证据的内容和表现形式。4.2.3评估者
CC包含评估者判定TOE与其安全需求一致时所使用的准则。CC用于描述评估者通常执行的一系列行为和执行这些行为所基于的安全功能。值得注意的是CC没有规定执行这些行动的过程。4.2.4其他读者
由于CC面向TOE的IT安全特性的规范和评估,它也可以作为对IT安全有兴趣或有责任的所有团体的参考资料。其他能够从CC所包含的信息中获益的群体有:a)系统管理员和系统安全管理员:负责确定和达到组织的IT安全策略和需求。b)内部和外部审计员:负责评定系统安全性能是否充分。c)安全规划和设计者:负责规范IT系统和产品的安全内容。d)认可者:负责认可一个T系统在特定环境中的使用。e)评估发起者:负责请求和支持一个评估。6
GB/T18336.1—2001
f)评估机构:负责管理和监督IT安全评估程序。4.3评估上下文
iiKAoNhiKAca-
为了使评估结果达到更好的可比性,评估应在权威的评估体制框架内执行,该框架规定了标准、监控评估质量并管理评估的工具,以及评估者必须遵守的规则。CC并不规定对管理框架的要求,但是不同评估机构的管理框架必须是一致性的,以使这样的评估结果可以互认。图4.1描述了构成评估上下文的主要部分。评范划
(流用准则)
语仿古学
平站体制
激评情
批性,议证”
图4.1评估上下文
正刻丧,
通用评估方法学有助于提供结果的可重复性和客观性,但仅靠方法学本身不够充分。许多评估准则需要使用专家判断和一定的背景知识,而这些更难达到一致。为了增强评估结果的一致性,最终的评估结果应提交给一个认证过程,该过程是一个针对评估结果的独立的检查过程,并生成最终的证书或正式批文,该证书通常是公开的。要说明的是,认证过程是使得安全准则应用得到更好一致性的一种手段。
评估体制、方法学和认证过程是管理评估体制的评估机构的责任,不属CC的范围。4.4CC的文档组织
CC由一系列不同但又相互关联的部分组成,这些部分描述中所用的术语在第5章解释。a)第1部分:简介和一般模型,是CC的简介。它定义了IT安全评估的一般概念和原理,并提出了评估的一般模型。第1部分也提出了若干结构,这些结构可用于表达IT安全目的,用于选择和定义IT安全要求,以及用于书写产品和系统的高层次规范。另外,CC每一部分都针对该部分目标读者来陈述。b)第2部分:安全功能要求,建立一系列功能组件作为表达TOE功能要求的标准方法。第2部分列出了一系列功能组件、子类和类。c)第3部分:安全保证要求,建立一系列保证组件作为表达TOE保证要求的标准方法。第3部分列出一系列保证组件、子类和类。第3部分也定义了PP和ST的评估准则,并提出了评估保证级,即定义了评定TOE保证的CC预定义尺度,这被称为评估保证级。为支持上面所列的CC的三个部分,将出版其他类型的文档,包括技术上的基本原理和指导文档。表4.1列出了主要的三组读者及其可能感兴趣的CC内容。表4.1CC使用指南
第1部分
第2部分
第3部分
用于了解背景信息和参
考。PP 的指导性结构。
在阐明安全功能要求的
描述时用作指导和参考。
用于指导保证需求级别
的确定。
开发者
评估者
用于了解背景信息和参考。PP和ST的指用于了解背景信息,开发安全要求和形成TOE的安全规范的参考。
用于解释功能要求和生成TOE功
能规范的参考。
当解释保证要求描述和确定TOE
的保证措施时,用作参考。
导性结构。
当确定TOE是否有效地符合已声明的安全功能时,用作评估准则的强制性描述。当确定TOE的保证和评估PP和ST时,用作评估准则的强制描述。
5一般模型
GB/T18336.1—2001
本章提出了贯穿CC使用的一般概念,其中也包括使用这些概念的上下文,以及CC使用这些概念的方法。第2部分或第3部分在使用这些概念的基础上进一步展开,并假设使用了本章描述的方法。本章假定读者已具备IT安全的一些知识,并非作为该领域的教材。CC用一系列安全性概念和术语来讨论安全性。对这些概念和术语的理解是有效运用CC的前提条件。但是,这些概念本身又是相当通用的,无意将这类IT安全的问题限于CC应用。5.1安全上下文
5.1.1一般安全上下文
安全涉及保护资产不受威胁,威胁可依据滥用被保护资产的可能性进行分类。应该考虑所有的威助类型,但在安全领域内,与恶意的或其他人类活动相关的威胁应给予更多的重视。图5.1说明了高层次概念和关系。
蛎有者
希望最小化
可的效球少
可指意识划
或助主体
可龄具有
图5.1安全概念和关系
保护关注的资产是那些对资产赋予价值的所有者的责任。实际或假定的威胁主体对资产也赋予了一定的价值,并希望以违背所有者初衷的方式用资产。所有者将会意识到这种威胁可能致使资产损坏,对所有者而言资产中的价值将会降低。安全性损坏般包括但又不仅包括以下几项:资产破坏性地暴露于未授权的接收者(丧失保密性),资产由未授权地更改而损坏(丧失完整性),或资产的访问权被未授权地剥夺(丧失可用性)。
资产所有者应分析可能的威胁并确定哪些存在于他们的环境,其结果就是风险。这种分析会有助于对策的选择,以应对风险并将其降低到一个可接受的水平。对策用以减少脆弱性并满足资产所有者的安全策略(直接或间接的为其他部分提供引导)。在对策使用后仍会有残留的脆弱性,这些残留的脆弱性仍可以被威胁者利用,从而造成了资产的残余风险。资产所有者会通过给出其他的约束来寻求最小的残余风险。在资产所有者将其资产暴露于特定威胁之前,所有者需要确信其对策足以应付面临的威胁。所有者自已可能没有能力对对策的所有方面加以判断,但可以寻求对对策的评估。评估结果是对保证性可达到程度的描述,即信任对策能用于降低所保护资产的风险。该描述还将对策的保证性进行分级。保证性是对策的特性,这种特性是信任正确操作的基础。资产所有者可以根据此描述决定是否接受将资产暴露给威胁所冒的风险。图5.2说明了这种关系。8
保证技
GB/T18336.1—2001
严生来江样
所有者
辟出证据
最本化
图5.2评估概念和关系
-iiKAoNniKAca
通常,资产所有者应当对资产负责,并应能对作出接受暴露资产于威胁前的决定进行论证。这就需要上述评估结果是可以论证的。那么,评估应产生客观的、可重复的可被引用作证据的结论。5.1.2信息技术安全环境
许多资产是以信息的形式被IT产品或系统所储存、处理和传送,以满足信息所有者的需求。信息所有者可能会要求严格控制任何对此类信息数据的传播和修改。他们可能会要求IT产品或系统实现某些专门的IT安全控制,作为所采用的对付数据威胁的部分对策。为了满足特定的需要而获取和建造IT系统,出于经济上的原因,往往充分利用现有(常用的)IT产品,如操作系统、通用组件和硬件平台。一个系统实现的IT安全对策可能利用低层IT产品的功能,并依赖于对IT产品安全功能的正确操作,所以IT产品评估也可以作为IT系统安全评估的一部分。当一个IT产品可以集成到(或被考虑集成到)多个IT系统时,该产品安全方面的评估可独立进行,并建立一个被评估的产品目录,这样做更经济。这种评估的结果应支持产品在多个T系统中的应用,避免不同系统中为检查产品的安全性进行不必要的重复工作。个IT系统的认可者在确定IT和非IT对策是否为数据提供了适当保护方面,与信息所有者的权力相当,并可决定是否允许系统运行。该认可者可以要求对IT对策进行评估,以确定IT对策是否提供充分的保护,以及指定的对策是否被IT系统正确实现。这类评估可以采取不同的形式和严格程度,这取决于所使用的规则或认可者。5.2CC方法
对T安全性的信任是通过开发、评估和操作过程中的各种措施获得的。5.2.1开发
CC不规定任何特定的开发方法和生命周期模型。图5.3描述了安全要求和评估对象之间关系的基本假设。该图用于提供讨论的基础,不应理解为某一种方法(如瀑布法)比另一种方法(如原型法)更优越。
重要的是,在开发阶段建立的安全要求对满足用户的安全目的意义重大。除非在开发过程的开始阶段确定合适的需求,否则即便用再好的工程方法,其最终产品也不能达到预期用户的目的。该过程的基础是将安全要求细化为安全目标中的TOE概要规范。每个低层次的细化代表具有更为详细设计的设计分解。最低的抽象表示是TOE实现本身。CC并不规定一套专有的设计表示方法。CC的要求应有充分的设计表达方法,该方法应在需要时以足够详细的程度表明:
a)每个层次的细化是更高层次的完全实例化(这就是说,所有TOE的高层次抽象定义的安全功9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。