標準解讀

《GB/T 18336.1-2008 信息技術 安全技術 信息技術安全性評估準則 第1部分:簡介和一般模型》相比于其前身《GB/T 18336.1-2001 信息技術 安全技術 信息技術安全性評估準則 第1部分:簡介和一般模型》,主要在以下幾個方面進行了更新與調(diào)整:

  1. 國際標準的接軌:2008版標準更緊密地遵循了國際通用的信息安全評估標準ISO/IEC 15408:2005,對原有內(nèi)容進行了相應的調(diào)整與補充,以適應全球信息技術安全評估的發(fā)展趨勢和要求。

  2. 術語和定義的更新:為了更準確地反映信息技術安全領域的最新概念和技術發(fā)展,2008版標準對一些關鍵術語和定義進行了修訂或新增,提高了標準的準確性和適用性。

  3. 評估方法的改進:標準進一步細化和優(yōu)化了信息技術產(chǎn)品的安全性評估方法論,包括安全功能要求(SFR)、安全保證要求(SAR)等方面的評估細節(jié),增強了評估過程的系統(tǒng)性和科學性。

  4. 安全目標的明確化:對安全目標(ST)的制定提供了更為詳細和具體的指導,幫助評估者更好地理解如何根據(jù)特定的保護輪廓(PP)和安全目標來設計和實現(xiàn)安全產(chǎn)品或系統(tǒng)。

  5. 評估保證級別(EAL)的調(diào)整:雖然EAL的基本框架保持不變,但2008版標準對其內(nèi)涵進行了細化和解釋上的澄清,確保不同級別的評估能夠更加精確地反映出被評估對象的安全能力。

  6. 加強了對隱私保護的關注:隨著信息技術應用的廣泛,個人數(shù)據(jù)保護成為重要議題。新版標準在安全要求中增加了對隱私保護的考量,反映了信息安全領域的新需求。

  7. 文檔結(jié)構(gòu)和表述的優(yōu)化:為了提高標準的可讀性和實用性,2008版標準對文檔結(jié)構(gòu)進行了調(diào)整,使得信息的組織更加邏輯清晰,表述也更加規(guī)范和易于理解。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 18336.1-2015
  • 2008-06-26 頒布
  • 2008-11-01 實施
?正版授權
GB/T 18336.1-2008信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型_第1頁
GB/T 18336.1-2008信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型_第2頁
GB/T 18336.1-2008信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型_第3頁
GB/T 18336.1-2008信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型_第4頁
GB/T 18336.1-2008信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型_第5頁

文檔簡介

犐犆犛35.040

犔80

中華人民共和國國家標準

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

代替GB/T18336.1—2001

信息技術安全技術

信息技術安全性評估準則

第1部分:簡介和一般模型

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻狇狌犲狊—

犈狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犐犜狊犲犮狌狉犻狋狔—

犘犪狉狋1:犐狀狋狉狅犱狌犮狋犻狅狀犪狀犱犵犲狀犲狉犪犾犿狅犱犲犾

(ISO/IEC154081:2005,IDT)

20080626發(fā)布20081101實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅳ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3縮略語!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.1引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.1.1GB/T18336的目標讀者!!!!!!!!!!!!!!!!!!!!!!!!!!!!7

4.2評估相關要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!8

4.3本標準的組織!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5一般模型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.0引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.1安全相關要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.1.1一般安全相關要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!9

5.1.2信息技術安全相關要素!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.2GB/T18336方法!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.2.1開發(fā)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11

5.2.2TOE評估!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12

5.2.3運行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.3安全概念!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!13

5.3.1安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!14

5.3.2安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.3IT安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.4TOE概要規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.3.5TOE實現(xiàn)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.4GB/T18336描述材料!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!15

5.4.1安全要求的表達!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!16

5.4.2評估類型!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6GB/T18336要求和評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6.1引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19

6.2PP和ST中的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.2.1PP評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.3TOE內(nèi)的要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!20

6.3.1TOE評估結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

6.4一致性結(jié)果!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

6.5TOE評估結(jié)果的應用!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!21

附錄A(規(guī)范性附錄)保護輪廓規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!23

A.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

A.2保護輪廓的內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

A.2.1內(nèi)容與形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!23

A.2.2PP引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.5安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!24

A.2.6IT安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

A.2.7應用注釋!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

A.2.8基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!25

附錄B(規(guī)范性附錄)安全目標規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.1概述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2安全目標的內(nèi)容!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.1內(nèi)容與形式!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.2ST引言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.3TOE描述!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27

B.2.4TOE安全環(huán)境!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28

B.2.5安全目的!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

B.2.6IT安全要求!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!29

B.2.7TOE概要規(guī)范!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

B.2.8PP聲明!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!30

B.2.9應用注釋!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

B.2.10基本原理!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!31

參考文獻!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!32

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

前言

GB/T18336在總標題《信息技術安全技術信息技術安全性評估準則》下,由以下幾個部分

組成:

———第1部分:簡介和一般模型

———第2部分:安全功能要求

———第3部分:安全保證要求

本部分是GB/T18336—2008的第1部分。

本部分等同采用國際標準ISO/IEC154081:2005《信息技術安全技術信息技術安全性評估準

則第1部分:簡介和一般模型》,僅有編輯性修改。

本部分代替GB/T18336.1—2001《信息技術安全技術信息技術安全性評估準則第1部分:

簡介和一般模型》。

本部分與GB/T18336.1—2001的主要差異如下:

1)刪除了GB/T18336.1—2001的“ISO/IEC前言”;

2)GB/T18336.1—2008增加了“引言”;

3)刪除了GB/T18336.1—2001的附錄A“通用準則項目”;

4)GB/T18336.1—2001的附錄D編為本部分的“參考文獻”。

本部分的附錄A和附錄B是規(guī)范性附錄。

本部分由全國信息安全標準化技術委員會提出和歸口。

本部分的主要起草單位:中國信息安全測評中心。

本部分主要起草人:吳世忠、陳曉樺、李守鵬、黃元飛、王貴駟、劉暉、劉春明、付敏、郭穎、劉楠。

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

引言

GB/T18336將使各個獨立的安全評估結(jié)果具有可比性。這通過在安全評估時,提供一套針對信

息技術(IT)產(chǎn)品和系統(tǒng)安全功能及其保證措施的通用要求來實現(xiàn)。評估過程建立一個信任級別,表明

該產(chǎn)品或系統(tǒng)的安全功能及其保證措施都滿足這些要求。評估結(jié)果可以幫助客戶確定該IT產(chǎn)品或系

統(tǒng)對他們的預期應用是否足夠安全以及使用該IT產(chǎn)品或系統(tǒng)帶來的固有安全風險是否可容忍。

GB/T18336對開發(fā)具有IT安全功能的產(chǎn)品或系統(tǒng)以及采辦具有此類功能的商用產(chǎn)品和系統(tǒng)都

是一本有益的指南。在評估時,此類IT產(chǎn)品或系統(tǒng)稱評估對象(TOE)。例如,常見的TOE有操作系

統(tǒng)、計算機網(wǎng)絡、分布式系統(tǒng)、應用軟件等。

GB/T18336致力于保護信息免受未授權的泄漏、修改或無法使用,與此對應的保護類別通常分別

稱為保密性、完整性和可用性。此外,GB/T18336也適用于IT安全的其他方面。GB/T18336主要關

注人為的安全威脅,無論其是否是惡意的,但也適用于非人為因素導致的威脅。另外,GB/T18336還

可用于IT技術的其他方面,但就其安全領域外的能力本標準不作承諾。

GB/T18336適用于在硬件、固件或軟件中實現(xiàn)的IT安全措施。另外,某些特殊的評估手段可能

只適用于某些特定的實現(xiàn)方法,這將在相應的標準文本中指出。

犌犅/犜18336.1—2008/犐犛犗/犐犈犆154081:2005

信息技術安全技術

信息技術安全性評估準則

第1部分:簡介和一般模型

1范圍

GB/T18336旨在作為評估信息技術產(chǎn)品和系統(tǒng)安全特性的基礎準則。通過建立這樣的通用準則

庫,信息技術安全性評估的結(jié)果才能被更多的人理解。

某些內(nèi)容因涉及專業(yè)技術或僅僅是IT安全的外圍技術,因此不在GB/T18336范圍之內(nèi)。例如:

a)GB/T18336不包括那些與IT安全措施沒有直接關聯(lián)的屬于行政性管理安全措施的安全評

估準則。但是,應該認識到TOE安全的某些重要組成部分通常可通過諸如組織的、人員的、

物理的、程序的控制等行政性管理措施來實現(xiàn)。在TOE的運行環(huán)境中,當行政性管理安全措

施影響到IT安全措施對抗已確定威脅的能力時,則將其作為安全使用假設;

b)GB/T18336沒有明確涵蓋電磁輻射控制等IT安全中技術性物理方面的評估,雖然標準中的

許多概念適用于該領域。換句話說,GB/T18336只涉及到TOE物理保護的某些方面;

c)GB/T18336并不專注于評估方法學,也不專注于評估管理機構(gòu)使用本準則的管理和法律架

構(gòu),但希望GB/T18336能在具有這樣的框架和方法論的環(huán)境中

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權,嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論