ICS35.040L70中華人民共和國國家標準GB/T18336.3-2001idtISO/IEC15408-3：1999信息技術安全技術信息技術安全性評估準則第3部分：安全保證要求InformationtechnologySecuritytechniquesEvaluationcriteriaforITsecurityPart3：Securityyassurancerequirements2001-03-08發布2001-12-01實施國家質量技術監督局發布

GB/T18336.3-2001前育ISO/IEC前言11.1、本標準的結構·………1.2GB/T18336的保證范例2引用標準·…3安全保證要求3.13.2組件分類3.3保護輪魔（PP）和安全目標（ST）評估準則類的結構3.4本標準中術語的應用3.5保保證分類………··3.6保保證類和子類概況…3.7護分類?……………3.83保證維護類和子類概況·4保護輪廊與安全目標評估準則…·4.1概述……….4.2保保護輪廊準則概述·4.3安全目標準則概述…5APE類：保護輪靡評估……5.1LTOE描述（APEDES)5.2安全環境(APE_ENV)5.3PP引言（APEINT）5.4安安全目的（APE?OBJ）……5.5TT安全要求（APEREQ）185.6明確陳述的IT安全要求(APE：SRE)206ASE類：安全目標評估·…………·6.1TOE描述(ASE_DES)216.2安安全環境(ASEENV)226.3ST引言（ASEINT)226.4安全目的（ASEOBJ）……………23PP聲明（ASEPPC)6.523SIT安全要求（ASEREQ）6.6246.7明確陳述的IT安全要求（ASESRE)25TOE概要規范（ASETSS）6.826

GB/T18336.3-20017評估保證級217.1評估保證級(EAL）概述217.2評估保證級細節288保證類、子類和組件36ACM類：配置管理369.1CM自動化（ACMAUT）9.2CM能力（ACMCAP379.3CM范圍（ACMSCP）10ADO類：交付和運行………………1310.1交付（ADO_DEL）4310.2安裝、生成和啟動（ADOIGS）…11ADV類;開發………·11.1功能規范(ADVFSP）-·…………·…·高層設計（ADV11.2HLD）·…·57實現表示（ADV11.3IMP)11.4TSF內部（ADVINT）56低層設計（ADV11.5LLD）表示對應性(ADV_RCR）11.66111.7安全策略模型(ADV_SPM）…6212AGD類：指導性文檔S412.1管理員指南（AGDADM）12.2用戶指南（AGDUSR）6513ALC類：生命周期支持6613.1開發安全（ALCDVS）13.2缺陷糾正（ALCFIR）…………….613.3生命周期定義(ALC_LCD）13.4工具和技術(ALCTAT)14ATE類:測試·………………·…14.1覆蓋范圍(ATECOV)14.2深度（ATEDPT）…….14.3功能測試（ATEFUN）·14.4獨立性測試（ATEIND)15AVA類;脆弱性評定·……81隱蔽信道分析（AVA_CCA）…15.115.28315.3TOE安全功能強度（AVASOF）8615.4脆弱性分析（AVAVLA）16保證維護范例·……··9016.190116.2保證維護周期.·….…………··…·.9116.3保證維護的類和子類……·9.9AMA類：保證維護······179517.1保證維護計劃(AMAAAMP)

GB/T18336.3-200117.2TOE組件分類報告（AMACAT）17.3保證維護證據（AMAEVD）9A17.4安全影響分析（AMASIA）………………附錄A(提示的附錄）保證組件依賴關系的交叉引用附錄B(提示的附錄）EAL和保證組件的交叉引用圖3.1保證類/子類/組件/元素的層次圖3.2保證組件結構·…………圖3.3EAL結構圖3.4保證和保證級的關系圖3.5類分解圖的實例………….圖5.1保護輪廊評估類分解圖6.1安全日標評估類分解圖9.1配置管理類分解圖10.1交付和運行類分解圖11.1開發類分解…………圖11.2TOE表示和要求之間的關系圖12.1指導性文檔類分解圖13.1生命周期支持類分解………56圖14.1測試類分解·……73圖15.1脆弱性評定類分解圖16.1保證維護周期例子圖16.2TOE接受方式例子圖16.3TOE監視方式例子圖17.1保證維護類分解·表3.1保證子類細目分類和對應關系表3.2保證維護類分解表4.1保護輪廊子類-僅用GB/T18336的要求保護輪廊子類表4.2GB/T18336擴展的要求…表4.3安全目標子類僅用GB/T18336的要求安全目標子類表4.4（B/T18336擴展的要求……………表7.1評估保證級匯總1表7.2評估保證級129表7.3評估保證級229表7.4評估保證級330表7.5評估保證級4表7.6評估保證級5表7.7評估保證級634表7.8評估保證級735表16.1保證維護的細分和對應關系表A1保證組件的依賴關系102表A2AMA內部依賴關系103表B1評估保證級匯總104

GB/T18336.3-2001前本標準等同采用國際標準ISO/IEC15408-3：1999《信息技術安全技術信息技術安全性評估準川第3部分：安全保證要求》本標準介紹了信息技術安全性評估的安全保證要求。GB/T18336在總標題《信息技術安全技術信息技術安全性評估準則》下，由以下3個部分組第1部分：簡介和一般模型第2部分：安全功能要求-第3部分：安全保證要求本標準的附錄A和附錄B是提示的附錄、本標準由國家質量技術監督局提出。本標準由全國信息技術標準化技術委員會歸口本標準由中國國家信息安全測評認證中心、信息產業部電子第30研究所、國家信息中心、復旦大學負責起草。本標準主要起草人：吳世忠、吳承榮、龔奇敏、陳曉樺、李守鵬、方關寶、吳亞飛、雷利民、葉紅、李鶴田、黃元飛、任衛紅。本標準委托中國國家信息安全測評認證中心負責解釋。

GB/T18336.3-2001ISO/IEC前言ISO(國際標準化組織)和IC(國際電工委員會)形成了全世界標準化的專門體系。作為ISO或IEC成員的國家機構，通過相應組織所建立的涉及技術活動特定領域的委員會參加國際標準的制定。ISO和IEC技術委員會在共同關心的領域里合作，其他與ISO和IC聯盟的政府的和非政府的國際組織也參加了該項工作。國際標準的起草符合ISO/IEC導則第3部分的原則在信息技術領域,ISO和IEC已經建立了一個聯合技術委員會-ISO/IECJTCI。聯合技術委員會采納的國際標準草案交付給國家機構投票表決。作為國際標準公開發表，需要至少75%的國家機構投贊成票。國際標準ISO/IEC15408-3是由聯合技術委員會ISO/IECJTC1(信息技術)與通用準則項目發起組織合作產生的。與ISO/IEC15408-3同樣的文本由通用準則項目發起組織作為《信息技術安全性評估通用淮則》發表。有關通用準則項目的史多信息和發起組織的聯系信息由ISO/IEC15408-1的附錄A提供。-安全技術-ISO/IEC15408在“信息技術--信息技術安全性評估準則”的總標題下,由以下幾部分組成：第1部分：簡介和一般模型第2部分：安全功能要求第3部分：安全保證要求附錄A和附錄B構成ISO/IEC15408本部分的提示部分以下具有法律效力的提示已按要求放置在ISO/IEC15408的所有部分：在ISO/IEC15408-1附錄A中標明的七個政府組織(總稱為通用準則發起組織),作為《信息技術安全性評估通用準則》第1至第3部分（稱為"CC")版權的共同所有者,在此特許ISO/IEC在開發1SO/IEC15408國際標準中,非排他性地使用CC。但是，通用準則發起組織在他們認為適當時保留對CC的使用、烤貝、分發以及修改的權利。

中華人民共和國國家標準信息技術安全技術信息技術安全性評估準則第3部分：安全保證要求GB/T18336:3-2001idtISO/IEC15408-3:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforTTsecurity-Part3：Securityassurancereguirements范用本標準定義了保證要求。它包括衡量保證尺度的評估保證級（EAL）、組成保證級的每個保證組件以及PP和ST的評估準則。1.1本標準的結構第1章是本標準的引論和范例。第3章描述了保證類、子類、組件和評估保證級的表示結構，以及它們之間的關系。同時還刻畫了第9章到第15章可找到的保證類和子類的特征。第4章、第5章和第6章先對PP和ST的評估準則作簡要的介紹，然后對在評估中要用到的子類與組件做了詳盡的解釋。第7章是評估保證級（EAL）的詳盡定義第8章對保證類作了簡要的介紹,在隨后的第9章到第15章給出了這些類的詳盡定義。第16和第17章對保證維護的評估準則做了簡要的介紹，其后給出了所用到的子類和組件的詳盡定義附錄A給出了保證組件之間依賴關系的概要附錄B給出了評估保證級(EAL)和保證組件之間的交叉引用。1.2！GB/T18336的保證范例本條旨在嘲述支撐本標準保證方法的基本原則。通過對本條的理解將使讀者了解隱含在本標準保證要求中的基本原理。1.2.1GB/T18336基本原則GB/T18336的基本原則,就是應該消楚描述那些對安全和組織安全策略承諾所造成的威脅,并且提出足以達到所期望的安全目的的安全措施。進一步地說，就是應采取一些措施以減少可能存在的脆弱性，減弱有意利用或者無意觸發(或利用)一個脆弱性的能力，以及減輕因利用一個脆弱性而導致的破壞程度。另外，還需要采納一定的措施，便于今后標識一