本标准定义了保证要求。它包括衡量保证尺度的评估保证级、组成保证级的每个保证组件以及PP和ST的评估准则。 GB/T 18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求 GB/T18336.3-2001 标准下载解压密码：www.bzxz.net

ICS35.040
中华人民共和国国家标准
GB/T18336.3—2001免费标准bzxz.net
idtISO/IEC15408-3:1999
信息技术安全技术
信息技术安全性评估准则
第3部分：安全保证要求
Information technologySecurity techniques-Evaluation criteria for IT security-Part 3:Security assurance requirements2001-03-08发布
2001-12-01实施
国家质量技术监督局
GB/T18336.3—2001
iiKAoNhiKAca-
本标准等同采用国际标准ISO/IEC15408-3：1999《信息技术安全技术信息技术安全性评估准则
第3部分：安全保证要求》。
本标准介绍了信息技术安全性评估的安全保证要求。GB/T18336在总标题《信息技术安全技术信息技术安全性评估准则》下，由以下3个部分组成：
第1部分：简介和一般模型
一第2部分：安全功能要求
一第3部分：安全保证要求
本标准的附录A和附录B是提示的附录。本标准由国家质量技术监督局提出。本标准由全国信息技术标准化技术委员会归口。本标准由中国国家信息安全测评认证中心、信息产业部电子第30研究所、国家信息中心、复旦大学负责起草。
本标准主要起草人：吴世忠、吴承荣、龚奇敏、陈晓桦、李守鹏、方关宝、吴亚飞、雷利民、叶红、李鹤田、黄元飞、任卫红。
本标准委托中国国家信息安全测评认证中心负责解释。I
GB/T18336.3—2001
ISO/IEC前言
ISO(国际标准化组织)和IEC(国际电工委员会)形成了全世界标准化的专门体系。作为ISO或IEC成员的国家机构，通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定。ISO和IEC技术委员会在共同关心的领域里合作，其他与ISO和IEC联盟的政府的和非政府的国际组织也参加了该项工作。
国际标准的起草符合ISO/IEC导则第3部分的原则。在信息技术领域，ISO和IEC已经建立了一个联合技术委员会一一ISO/IECJTC1。联合技术委员会采纳的国际标准草案交付给国家机构投票表决。作为国际标准公开发表，需要至少75%的国家机构投赞成票。
国际标准ISO/EC15408-3是由联合技术委员会ISO/IECJTC1（信息技术）与通用准则项目发起组织合作产生的。与ISO/IEC15408-3同样的文本由通用准则项目发起组织作为《信息技术安全性评估通用准则》发表。有关通用准则项目的更多信息和发起组织的联系信息由ISO/IEC15408-1的附录A提供。
ISO/IEC15408在“信息技术——安全技术—部分组成：
第1部分：简介和一般模型
第2部分：安全功能要求
第3部分：安全保证要求
信息技术安全性评估准则”的总标题下，由以下几附录A和附录B构成ISO/IEC15408本部分的提示部分。以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分：在ISO/IEC15408-1附录A中标明的七个政府组织（总称为通用准则发起组织），作为《信息技术安全性评估通用准则》第1至第3部分（称为\CC\)版权的共同所有者，在此特许ISO/IEC在开发ISO/IEC15408国际标准中，非排他性地使用CC。但是，通用准则发起组织在他们认为适当时保留对CC的使用、拷贝，分发以及修改的权利。1范围
中华人民共和国国家标准
信息技术安全技术
信息技术安全性评估准则
第3部分：安全保证要求
InformationtechnologySecuritytechniques-Evaluation criteria for IT securityPart3:SecurityassurancerequirementsiiKAoNhiKAca-
GB/T18336.3—2001
idtISO/IEC15408-3:1999
本标准定义了保证要求。它包括衡量保证尺度的评估保证级（EAL）、组成保证级的每个保证组件以及PP和ST的评估准则。
1.1本标准的结构
第1章是本标准的引论和范例。
第3章描述了保证类，子类，组件和评估保证级的表示结构，以及它们之间的关系。同时还刻画了第9章到第15章可找到的保证类和子类的特征第4章、第5章和第6章先对PP和ST的评估准则作简要的介绍，然后对在评估中要用到的子类与组件做了详尽的解释。
第7章是评估保证级(EAL）的详尽定义第8章对保证类作了简要的介绍，在随后的第9章到第15章给出了这些类的详尽定义。第16和第17章对保证维护的评估准则做了简要的介绍，其后给出了所用到的子类和组件的详尽定义。
附录A给出了保证组件之间依赖关系的概要。附录B给出了评估保证级(EAL)和保证组件之间的交叉引用。1.2GB/T18336的保证范例
本条旨在阐述支撑本标准保证方法的基本原则。通过对本条的理解将使读者了解隐含在本标准保证要求中的基本原理。
1.2.1GB/T18336基本原则
GB/T18336的基本原则，就是应该清楚描述那些对安全和组织安全策略承诺所造成的威胁，并且提出足以达到所期望的安全目的的安全措施。进一步地说，就是应采取一些措施以减少可能存在的脆弱性，减弱有意利用或者无意触发（或利用）一个脆弱性的能力，以及减轻因利用一个脆弱性而导致的破坏程度。另外，还需要采纳一定的措施，便于今后标识一些脆弱性，消除、减轻或通告一个已经被利用或触发过的脆弱性。1.2.2保证方法
GB/T18336的基本原则是为被信任的IT产品或系统的评估（积极的调查)提供保证。评估是提供保证的传统方法，并且是GB/T18336文档的基础。为了与现行的方法保持一致，GB/T18336采用相同的基本原则。GB/T18336建议由专业评估员在不断强调范围、深度和严格性的基础上，衡量文档和已国家质量技术监督局2001-03-08批准2001-12-01实施
完成的T产品或系统的有效性。
GB/T18336.3—2001
GB/T18336不排斥也不评论用其他方法的获得保证的有关优点。有关获得安全保证的其他方法还在研究当中。一日成熟的、可选择的方法产生，可以考虑把它们吸收到GB/T18336中，因为GB/T18336的结构充许将来引入更新的内容。1.2.2.1脆弱性的意义
假定存在积极寻求违反安全策略的可乘之机的威胁者，他们无论是为了非法获利还是出于别的意图，其行为都是不安全的。威胁者也可能偶然触发了脆弱性，造成对系统的损害。由于处理敏感信息的需求与可用的足够可信产品或者系统缺乏之间的矛盾，一旦失效，将会导致很大的风险。因此，破坏IT安全可能造成重大的损失。
破坏IT安全的事件主要发生于应用IT处理业务过程中，脆弱性被有意利用或无意地触发。应该采取一定的措施防止在IT产品和系统中出现脆弱性。在可行的情况下，脆弱性应该被：a）消除一一即应该采取积极的措施来发现、除去或者消灭所有可利用的脆弱性，b）最小化一一即应该采取积极的措施减少任何可利用脆弱性的潜在影响，使残留的脆弱性达到一个可接受的程度；
c）监视一一即应该采取积极的措施，确保发现任何利用残余脆弱性的企图，以便采取及时限制破坏的措施。
1.2.2.2脆弱性产生的原因
以下的失败可导致脆弱性：
a）要求一一即IT产品或者系统具有所有必要的功能和特性，但仍然可能包含着脆弱性，使得产品或系统在安全方面不合适或者无效；b）构造一一即IT产品或系统不符合设计规范，或者由于低劣的构造标准或选择了不正确的系统没计而导致了脆弱性
c）运行一一即IT产品或者系统被正确构造，且符合正确的规范，但是在其运行中由于不适当的控制而导致了脆弱性。
1.2.2.3本标准的保证
保证是T产品或系统符合其安全目的的信任基础。保证可从诸如未证实的声明，有关的先期经验，或者特定经验等作参考的原始资料获得。然而，本标准通过积极的调查来提供保证。积极的调查就是对T产品或者系统进行评估，以确定其安全特性。1.2.2.4通过评估获得保证
评估是获取保证的传统手段，并且是GB/T18336方法的基础。评估技术包括但不限于以下这些：a）分析并检查过程和步骤；
b）检查过程和步骤是否被使用，c）分析评估对象(TOE)设计表述之间的致性d）针对要求分析评估对象(TOE)的设计表述；e）验证证据：
f）分析指导性文档；
g）分析所开发的功能测试和所提供的结果，h）独立的功能测试；
i）分析脆弱性（包括缺陷假设)；j）穿透性测试。
1.2.3GB/T18336评估保证尺度
GB/T18336的基本原则确信，更好的保证源于更大的评估努力，而目标却是运用最小的努力来获得必要的保证级。努力程度的增加基于：2
GB/T18336.3—2001
a）范围一一即指，因为包含更多的IT产品或者系统，所以需要更大的努力，-iiiKAoNniKAca-
b）深度一一即指，因为要在更好的设计和实施细节这一层次上展开，所以需要更大的努力；c）严格性一一即指，因为要以更结构化、更形式化的方式应用，所以需要更大的努力。2引用标准
下列标准所包括的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。GB/T18336.1一2001信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型（idtISO/IEC15408-1：1999）3安全保证要求
3.1结构
以下的章条描述了保证类、子类、组件和评估保证级(EAL)的结构，以及它们之间的关系。图3.1说明了本标准定义的保证要求。注意到，保证要求中最抽象的集合称作一个类。每一个类包含多个保证子类，每一个子类又包含多个保证组件，每一个组件同样又包含多个保证元素。类和子类提供对保证要求进行分类的分类法，而组件用来指明PP和ST中的保证要求。3.1.1类结构
保证类的结构如图3.1所示。
3.1.1.1类名
每一个保证类被指定个唯一的名字。名字表明保证类涵盖的主题。保证类名也具有唯一的简洁形式。这是引用保证类的主要的方法。按惯例，采取“A”后跟两个与类名有关的字母。
3.1.1.2类介绍
每一个保证类有一段介绍，描述类的组成，并且包含了涉及该类意图的支持性文字。3.1.1.3保证子类
每一个保证类包含至少一个保证子类。保证子类的结构将在下面的章条中介绍。3.1.2保证族结构
保证族的结构如图3.1所示。
3.1.2.1子类名
每一个保证子类指定一个唯一的名字。该名字描述了与保证子类涵盖的主题相关的信息。每一个保证子类被置于一个保证类之内，这个保证类也包括具有相同意图的其他保证子类。保证子类名也有一个唯一的简洁形式，这是引用保证子类的主要方法。按惯例，其表示方法是所在类名的缩写，加下划线，然后再加上与子类名有关的三个字母。3.1.2.2自的
保证子类的目的部分说明保证子类的意图。这部分描述了该保证子类所要表明的目的，特别是那些与GB/T18336保证范例有关的目的。这个保证子类的描述是一般的描述。目的所要求的任何特定细节都应包含在该保证组件中。3.1.2.3组件分级
每一个保证子类包含一个或多个保证组件。保证子类的这一部分主要描述可供使用的组件并且解释它们之间的差异。一旦确定该保证子类对PP/ST保证要求而言是必需或是有用的部分，就要区分这些保证组件，这是组件分级的主要目的。含有超过一个组件的保证子类将被分级并说明分级的理由。分级将依据范围、深度或者严格性的原则进行。
3.1.2.4应用注释
GB/T18336.3—2001
如果有应用注释部分的话，它将提供这个保证子类的附加信息，而这些信息应该是保证子类用户（例如PP和ST的作者、TOE的设计者、评估者等等)特别感兴趣的。它的表示是非形式化的，并且包括限制使用的警告和特别要注意的地方。3.1.2.5保证组件
每一个保证子类至少有一个保证组件。保证组件的结构将在下一条描述。本标准保证要求
88888888868888
2用±
纠件标识
86:880
压证科
hty wwa? ae
依惯光系
保证元察
图3.1保证类/子类/组件/元素的层次3.1.3保证组件结构
保证组件的结构如图3.2所示。
保证组性
GB/T18336.3—2001
组标识
鹿用注新
快让元意
图3.2保证组件结构
依赖先率
iiKAoNhiKAca-
保证子类内组件之间的关系用粗体突出表示。那些新的要求，连同对同一级内前面组件的增强或修改部分，也用粗体突出表示。对于依赖关系也同样用粗体突出表示。3.1.3.1组件标识
组件标识部分给出一些描述信息，这些信息对标识、分类、登记和引用一个组件是必须的。每个保证组件指定唯一的一个名字。该名字提供关于该保证组件所涉及主题的描述性信息。每个保证组件均放置在与其共享安全目的的保证子类之内。保证组件名字也给定了唯的简洁形式，这是引用保证组件的主要方法。按惯例，简洁形式为子类名的缩写，后面加一个点，然后是数字符号。这个数字符号是根据组件在子类内的顺序从1开始编号的。3.1.3.2目的
如果保证组件有目的部分，那么它包含了特定保证组件的特定目的。在含有这部分信息的保证组件中，该信息详尽地解释了该组件的特定意图和目的。3.1.3.3应用注释
如果保证组件有应用注释部分，则它包含了一些附加的信息，以便于使用该组件。3.1.3.4依赖关系
当一个组件无法自我满足而依赖于另一个组件时，依赖关系就出现在这些保证组件中。每一个保证组件都给出了一个完整的列表，表明了它与其他保证组件的依赖关系。一些组件可能“无依赖关系”，这表明它没有依赖于其他组件。被依赖的组件也可能依赖于其他组件。依赖关系列表标识了所依赖的保证组件的最小集合。在依赖关系列表中与另一组件同层次的组件也可以用来满足依赖关系。
在特殊情况下，所表明的依赖关系可能并不适用。PP/ST的作者可以提供为什么给定的依赖关系不适用的理由，并选择不去满足这种依赖关系。3.1.3.5保证元素
每一个保证组件给出了一组保证元素。一个保证元素就是一个安全要求，如果进一步细分的话，这个安全要求不会产生有意义的评估结果。它是本标准中最小的安全要求。每一个保证元素都被确定属于以下三组保证元素中的一组：a）开发者行为元素：即由开发者将实施的活动。这组行为靠下一组元素中引用的证据材料来证明是否合格。开发者行为要求用元素编号上附加一个字母“D”的方法来表示。b）证据的内容和形式元素：即所要求的证据、证据所显示的以及证据所表述的信息。证据的内容和形式要求用元素编号上附加字母“c”的方法来表示。c）评估者行为元素：即评估者实施的活动。这组行为隐含了对在前面两组元素中规定要求的证实，并月隐含了除开发者实施的活动之外还须实施的行为或分析。评估者行为要求用元素号上附加字母“E”的方法来表示。
GB/T18336.3—2001
开发者行为与证据内容和形式这两组元素定义了代表一个开发者职责的保证要求，而该开发者的职责就是论证TOE的安全功能保证。通过满足这些要求，开发者能够更加确信TOE满足PP或ST的功能和保证要求。
评估者行为从评估的两个方面明确了评估者的责任。一个方面是根据第5章和第6章中定义的APE和ASE来确认PP/ST，另一方面是验证TOE与其功能和保证要求的一致性，通过证明PP/ST是有效的并且TOE满足这些要求，评估者可以提供一个信任的基础，确信这个TOE满足其安全目的。评估者行为元素结合了证据的内容和形式，指明了在验证TOE的ST中所作的安全声明时将要进行的评估活动。
3.1.4保证元素
每一个元素代表一个需要满足的要求。描述要求的语句应当清晰、简洁且无歧义。因此，不能出现复杂句式，即每一可分离的要求将作为单独的元素来说明。对于使用的术语，元素采用常见辞典上的意思，而不采用那些预先规定的术语的缩写形式，因为那将导致隐含性要求。因此，元素都表述为明确的要求，而不用保留术语。与GB/T18336第2部分不同之处在于，在本标准中没有与元素有关的赋值和选择操作。然而，本标准可能根据需要进行“细化”操作。3.1.5EAL结构
图3.3说明了在本标准中定义的所有评估保证级（EAL）和相应的结构。注意，图中显示出保证组件的内容的同时，还将通过引用GB/T18336中定义的实际组件来将该结构信息包含在一个评估保证级(EAL)中。
本标准保正
姐许标识
深门注样
症获素
科世事
图3.3EAL结构
3.1.5.1EAL名称
GB/T18336.3—2001
-iiKAoNniKAca-
给每一评估保证级(EAL)指定唯一的名称。该名称提供关于评估保证级（EAL)意图的描述性信息。
评估保证级(EAL)名称有唯一的简洁形式，这是引用评估保证级(EAL)的主要方法。3.1.5.2目的
评估保证级(EAL)的目的部分表明了评估保证级(EAL)的意图。3.1.5.3应用注释
如果评估保证级(EAL）有应用注释部分，则它包含评估保证级（EAL）的使用者（如PP和ST的作者、以该评估保证级（EAL)为目的的评估对象（TOE）的设计者、评估者）特别感兴趣的信息。它的表示是非形式化的，并且包含了限制使用的警告和应特别注意的地方。3.1.5.4保证组件
必须为每一个评估保证级(EAL）选择一组保证组件。可以用以下方法，得到一个比给定的评估保证级（EAL）所提供的保证具有更高级别的保证：a）从其他保证子类中选取额外的保证组件b）从相同的保证子类中用更高级别的保证组件替换该保证组件。3.1.6保证和保证级的关系
图3.4说明了本标准定义的保证要求和保证级之间的关系。当保证组件进一步分解为保证元素时，保证元素不能被保证级单独引用。注意，图中的箭头表示从一个评估保证级（EAL）到其所在类中一个保证组件的引用。
3.2组件分类
本标准包含一些根据相关保证分组的子类和组件的类。在每一个类的开始是一个图表，指出该类中的子类和子类中的组件。
在图3.5中，所显示的类包含一个单一的子类。这个子类包含三个线性分级的组件（如组件2在特定行为、特定证据以及在行为或证据的严格性等方面上比组件1要求得更多）。在本标准中的保证子类都是线性分级的，尽管“线性”对以后可能增加的保证子类而言，并不是的一个强制性的准则。3.3保护轮廓(PP)和安全目标(ST)评估准则类的结构保护轮廓（PP）和安全目标（ST）的评估要求被视为保证类，并且被表示为与其他保证类相似的结构，而这些结构将在下面进行描述。值得注意的是，相关的子类描述中没有组件分级这一部分。这是因为每一个子类仅仅有单一的组件，没有分级的情况。在本标准的第4章，表4.1、4.2、4.3和4.4概述了组成APE类和ASE类的子类以及两类的缩写。有关APE类中子类的叙述概要见GB/T18336第1部分附录B的B2.2到B2.6，有关ASE类中子类的叙述概要见GB/T18336第1部分附录C的C2.2到C2.8。3.4本标准中术语的应用
以下是本标准需要准确使用的术语列表，它们并非对术语表的内容有任何扩充，因为它们只是一般词语，它们的用法尽管被以下的定义所限制，但仍然和词典中的意思一致。然而，这些术语曾作为本标准开发的指导，因此有助于一般性的理解。3.4.1检查check
这个术语类似于“确认”或者“验证”，但是并没有那么严格。这个术语要求评估者在经过一个粗略的分析，或者根本没有分析的情况下迅速作出决定。3.4.2连贯coherent
一个逻辑上有序的实体具有可辨别的意义。对于文档，这意味着既表示文档的实际文本又表示文档的结构，取决于它是否能为读者所理解。7
3.4.3完备complete
本标准保证要求
组件标训
用在释
依菌光系
保证元案
GB/T18336.3—2001
本标准保证额
有的·
英思洗
作察关
新件示事
图3.4保证和保证级的关系
于类1
图3.5类分解图的实例
提供一个实体所有必要的部分。用在文档中，这意味着该文档包含所有信息，其详细程度应达到一定的水平，在这个抽象程度的水平上不再需要进一步解释了。8
3.4.4确认confirm
GB/T18336.3—2001
-iiKAoNniKAca-
这个术语用来表明某些事情需要在细节上进行复查，并且需要对其充分性作出独立的判断。严格的程度取决于主体本身的性质。这个术语仅适用于评估者行为。3.4.5致consistent
这个术语描述两个或者更多实体之间的关系，表明这些实体之间没有明显的矛盾。3.4.6对抗counter
这个术语主要表示一个安全对象对抗了一个特殊的威胁，但是不需要指出威胁最终被完全根除。3.4.7论证demonstrate
这个术语指一个可得出结论的分析，它不如“严格证明”严格。3.4.8描述describe
这个术语要求提供一个实体确定的特定细节。3.4.9决定determine
这个术语要求作出独立的分析，以获得一个特定的结论。这个术语的用法不同于“确认”或者“验证”，因为后两者意味着分析已经完成而只需要复查，而决定”意味着通常在没有进行任何分析的情况下作出一个真正独立的分析。
3.4.10确保ensure
这个术语意味着行为和结果之间有很强的因果关系。该术语典型的用法是把“帮助”加在前面，表明它仅仅基于行为，而不是对结果的充分肯定。3.4.11彻底exhaustive
这个术语在本标准中表明实施分析或者其他行为。它与“系统的”有关，但是相对更强一些。它表明，不仅要根据一个明确的计划采取系统化的方法实施分析或其他行为，而且其后的计划应足以保证所有可能的方法都已被采纳了。
3.4.12解释explain
这个术语不同于“描述”和“论证”。它旨在回答“为什么？”，而并非试图争辩所采取行动的过程是最佳的。
3内在一致internallyconsistent3.4.13
实体的任何方面之间没有明显的矛盾。在文档中，这意味着没有自相矛盾的地方。3.4.14证明justification
这个术语指用于得出结论的分析，但是比“论证”更严格。这个术语要求，在非常仔细和彻底地解释逻辑论点的每一个步时都需十分严格。3.4.15相互支持mutuallysupportive这个术语描述一组实体之间的相互关系，表明实体占有的资源不与其他实体相冲突，甚至可能辅助其他的实体完成任务。它并不需要判断所有有关的独立实体是否直接支持所在组中的其他实体，而是个更具一般意义的判断。
3.4.16严格证明prove
这指在数学意义上的一个形式化分析。它的各个方面完全都是严格的。典型地讲，“严格证明”主要用于在高级别严格性的情况，以显示两个TSF表示之间的对应关系。3.4.17规定specify
这个术语的使用情况与“描述”一样，但是倾向更严格和准确的含义。它十分类似于“定义”。3.4.18追溯race
这个术语用来表明在具有最小级别严格性的两个实体之间所要求的一种非形式化的对应。3.4.19验证verify
这个术语的用法类似于“确认”，但是有更严格的含义。当这个术语用于评估者行为时，表明要求评9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。