信息安全技術(shù) 信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)編制指南

1、信息安全技術(shù)信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)編制指南Information security technologyGuide for the production of information system protect profile and information system security target（報(bào)批稿）-發(fā)布-實(shí)施中中華華人人民民共共和和國(guó)國(guó)國(guó)國(guó)家家質(zhì)質(zhì)量量監(jiān)監(jiān)督督檢檢驗(yàn)驗(yàn)檢檢疫疫總總局局 中中 國(guó)國(guó) 國(guó)國(guó) 家家 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 化化 管管 理理 委委 員員 會(huì)會(huì)中中 華華 人人 民民 共共 和和 國(guó)國(guó) 國(guó)國(guó) 家家 標(biāo)標(biāo) 準(zhǔn)準(zhǔn)GB/T X X X 200Xeqv UN/EC

2、E/WP.4/R.1212 ICS 35.040L80目 次前 言.III引 言 .IV1 范圍.12 規(guī)范性引用文件.13 術(shù)語(yǔ)和定義.14 ISPP 和 ISST 概述 .14.1 ISPP 和 ISST 的用途.14.2 ISPP 和 ISST 的內(nèi)容.14.3 ISPP 和 ISST 的目標(biāo)讀者.35 ISPP 和 ISST 的編制過(guò)程 .36 ISPP 和 ISST 的描述部分 .46.1 概述 .46.2 ISPP 和 ISST 標(biāo)識(shí).46.3 ISPP 和 ISST 概述.46.4 ISPP 應(yīng)用注解.47 信息系統(tǒng)描述.57.1 概述 .57.2 信息系統(tǒng)使命描述 .57.3

3、信息系統(tǒng)概要描述 .57.4 信息系統(tǒng)詳細(xì)描述 .58 安全保障需求.58.1 概述 .68.2 識(shí)別和說(shuō)明假設(shè) .68.3 識(shí)別和說(shuō)明威脅 .68.4 識(shí)別和確定組織安全策略 .108.5 明確安全保障需求定義 .109 安全保障目的.119.1 概述 .119.2 威脅、假設(shè)和組織安全策略的列表 .119.3 信息系統(tǒng)環(huán)境保障目的 .129.4 信息系統(tǒng)安全保障目的 .1210 安全保障要求.1210.1 概述 .1210.2 安全技術(shù)保障要求 .1410.3 安全管理保障要求 .1710.4 ISPP 或 ISST 中的安全工程保障要求.1811 信息系統(tǒng)概要規(guī)范.2011.1 概述 .

4、2011.2 信息系統(tǒng)概要規(guī)范概述 .2011.3 安全保障措施的選擇 .2112 ISPP 聲明 .2212.1 概述 .2212.2 ISPP 引用.2212.3 ISPP 裁剪.2212.4 ISPP 附加項(xiàng).2213 符合性聲明.2213.1 概述 .2213.2 安全保障目的的符合性聲明 .2213.3 安全保障要求的符合性聲明 .24附錄 A（資料性附錄）從 GB/T 20274.2-2008 選取 STRS.27附錄 B（資料性附錄）從 GB/T 20274.3-2008 選取 SMRS .31附錄 C（資料性附錄）從 GB/T 20274.4-2008 選取 SERS.34參考

5、文獻(xiàn).36前 言本指導(dǎo)性技術(shù)文件是GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架的配套指南文件，為信息系統(tǒng)保護(hù)輪廓（Information System Protect ProfileISPP）和信息系統(tǒng)安全目標(biāo)（Information System Security TargetISST）的編制提供指南。本指導(dǎo)性技術(shù)文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本指導(dǎo)性技術(shù)文件主要起草單位：中國(guó)信息安全測(cè)評(píng)中心。本指導(dǎo)性技術(shù)文件主要起草人：江常青、彭勇、張利、姚軼嶄、佟鑫、胡衛(wèi)華、江典盛、陸麗、付敏、周瑾、張怡、李國(guó)俊。引 言本指導(dǎo)性技術(shù)文件依據(jù)GB/T 20274信息安全技術(shù)

6、信息系統(tǒng)安全保障評(píng)估框架，為信息系統(tǒng)保護(hù)輪廓（ISPP）和信息系統(tǒng)安全目標(biāo)（ISST）的編制提供指南。本指導(dǎo)性技術(shù)文件的使用者應(yīng)熟悉GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架的4個(gè)組成部分。本指導(dǎo)性技術(shù)文件不解決諸如信息系統(tǒng)保護(hù)輪廓注冊(cè)和知識(shí)產(chǎn)權(quán)保護(hù)的問(wèn)題（如：專利）。信息安全技術(shù)信息系統(tǒng)保護(hù)輪廓和信息系統(tǒng)安全目標(biāo)編制指南1范圍本指導(dǎo)性技術(shù)文件描述信息系統(tǒng)保護(hù)輪廓（ISPP）和信息系統(tǒng)安全目標(biāo)（ISST）的編制過(guò)程，為編寫ISPP和ISST提供指導(dǎo)，并在附錄中給出從GB/T 20274 中選取安全保障要求組件的列表，以供參考。2規(guī)范性引用文件本指導(dǎo)性技術(shù)文件的條款引用了下列文件

7、中的有關(guān)條款。凡注明日期或版次的引用文件，其后的任何修改（不包括勘誤的內(nèi)容）或修訂版本都不適用于本指導(dǎo)性技術(shù)文件。凡沒(méi)有注明日期或版次的引用文件，其最新版本適用于本指導(dǎo)性技術(shù)文件。GB/T 20274.1-2006 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第1部分： 簡(jiǎn)介和一般模型GB/T 20274.2-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第2部分： 技術(shù)保障GB/T 20274.3-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第3部分： 管理保障GB/T 20274.4-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第4部分： 工程保障3術(shù)語(yǔ)和定義GB/T 2027

8、4.1-2006、GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008中的術(shù)語(yǔ)、定義和縮略語(yǔ)適用于本指導(dǎo)性技術(shù)文件。4ISPP 和 ISST 概述 4.1ISPP 和 ISST 的用途GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架的主要用途是表達(dá)信息系統(tǒng)的安全保障要求。信息系統(tǒng)有許多不同的種類，每個(gè)信息系統(tǒng)運(yùn)行于特定的現(xiàn)實(shí)環(huán)境中，受到來(lái)自于組織內(nèi)部與外部環(huán)境的約束。因此對(duì)于不同的信息系統(tǒng)，通常有不同的安全保障要求。GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架中用ISPP和ISST來(lái)表達(dá)某一類信息系統(tǒng)和某一個(gè)特定信息

9、系統(tǒng)的安全保障要求。信息系統(tǒng)的所有者運(yùn)用ISPP來(lái)描述某一類信息系統(tǒng)標(biāo)準(zhǔn)化、結(jié)構(gòu)化和規(guī)范化的安全保障需求。信息系統(tǒng)的開發(fā)者依據(jù)ISPP針對(duì)特定的信息系統(tǒng)編制相應(yīng)的ISST，描述其特定用戶系統(tǒng)的安全保障需求以及對(duì)ISPP的滿足情況。4.2ISPP 和 ISST 的內(nèi)容GB/T 20274.1-2006的圖A.1中描述了ISPP中所要求的內(nèi)容條目。表1是本指導(dǎo)性技術(shù)文件推薦ISPP使用的樣本目錄清單結(jié)構(gòu)。GB/T 20274.1-2006的圖B.1中描述了ISST所要求的內(nèi)容條目。表2是本指導(dǎo)性技術(shù)文件推薦ISST使用的樣本目錄清單結(jié)構(gòu)。表 1 安全保護(hù)輪廓樣本目錄清單1ISPP 描述1.1 IS

10、PP標(biāo)識(shí)1.2 ISPP概述2信息系統(tǒng)描述1.1使命描述1.2信息系統(tǒng)概要描述1.3信息系統(tǒng)詳細(xì)描述3安全保障需求3.1 假設(shè)3.2 威脅3.3 組織安全策略4安全保障目的4.1 信息系統(tǒng)安全技術(shù)保障目的4.2 信息系統(tǒng)安全管理保障目的4.3 信息系統(tǒng)安全工程保障目的5安全保障要求5.1 信息系統(tǒng)安全保障要求5.2 信息系統(tǒng)安全技術(shù)保障要求5.3 信息系統(tǒng)安全管理保障要求5.4 信息系統(tǒng)安全工程保障要求6ISPP應(yīng)用注解7符合性聲明7.1 安全目的符合性聲明7.2 安全要求符合性聲明表 2 安全目標(biāo)樣本目錄清單1ISST 描述1.1 ISST標(biāo)識(shí)1.2 ISST概述2信息系統(tǒng)描述1.1使命描述

11、1.2信息系統(tǒng)概要描述1.3信息系統(tǒng)詳細(xì)描述3安全保障需求3.1 假設(shè)3.2 威脅3.3 組織安全策略4安全保障目的4.1 信息系統(tǒng)安全技術(shù)保障目的4.2 信息系統(tǒng)安全管理保障目的4.3 信息系統(tǒng)安全工程保障目的5安全保障要求5.1 信息系統(tǒng)安全保障要求5.2 信息系統(tǒng)安全技術(shù)保障要求5.3 信息系統(tǒng)安全管理保障要求5.4 信息系統(tǒng)安全工程保障要求6信息系統(tǒng)概要規(guī)范6.1 信息系統(tǒng)安全保障要求6.2 信息系統(tǒng)安全技術(shù)保障6.3 信息系統(tǒng)安全管理保障6.4 信息系統(tǒng)安全工程保障7ISPP聲明7.1 ISPP引用7.2 ISPP剪裁7.3 ISPP附加項(xiàng)8符合性聲明8.1 安全目的符合性聲明8.2

12、 安全要求符合性聲明ISPP或ISST的描述部分標(biāo)識(shí)了ISPP或ISST的信息系統(tǒng)，并概要描述了ISPP或ISST。ISPP概述可以被ISPP文檔的編目和注冊(cè)引用。信息系統(tǒng)描述提供了信息系統(tǒng)（或信息系統(tǒng)類型）的一般信息，幫助目標(biāo)讀者理解信息系統(tǒng)的安全要求和信息系統(tǒng)的預(yù)期使用方法。ISST的信息系統(tǒng)描述應(yīng)該包括信息系統(tǒng)使命描述、信息系統(tǒng)概要描述和信息系統(tǒng)詳細(xì)描述。安全保障需求是信息系統(tǒng)所處環(huán)境的安全保障需求，即信息系統(tǒng)的預(yù)期使用方式、預(yù)期使用的環(huán)境范圍和特征。安全環(huán)境詳細(xì)描述了用于定義安全保障需求的假設(shè)、預(yù)期使用的范圍、資產(chǎn)所面臨的已知威脅以及信息系統(tǒng)必須遵從的組織安全策略。安全保障目的提供與安

13、全保障需求相對(duì)應(yīng)的一致性聲明。這部分的詳盡說(shuō)明見本指導(dǎo)性技術(shù)文件第9章。安全保障要求包括信息系統(tǒng)的安全技術(shù)保障要求、安全管理保障要求和安全工程保障要求，分別使用GB/T 20274.2-2008、GB/T 20274.3-2008和GB/T 20274.4-2008中的功能組件和保證組件來(lái)描述。這部分的詳盡說(shuō)明見本指導(dǎo)性技術(shù)文件第10章。ISPP應(yīng)用注解是ISPP的可選部分，它提供了ISPP有用的附加的信息。信息系統(tǒng)概要規(guī)范包括由信息系統(tǒng)提供的用于滿足特定安全保障要求的安全功能，以及所有聲明滿足特定安全保障要求的安全保障措施。這部分的詳盡說(shuō)明見本指導(dǎo)性技術(shù)文件第11章。ISPP聲明是ISST的

14、可選部分，用于聲明ISST遵從和滿足的所有ISPP，以及對(duì)ISPP內(nèi)容的補(bǔ)充或裁減。這部分的詳盡說(shuō)明見本指導(dǎo)性技術(shù)文件第12章。4.3ISPP 和 ISST 的目標(biāo)讀者ISPP和ISST目標(biāo)讀者可分為：a)用戶用戶需要了解遵從 ISPP 的信息系統(tǒng)應(yīng)該采取哪些安全保障措施；b)開發(fā)者開發(fā)者需要獲得清晰的安全保障要求，以便去構(gòu)建符合 ISPP 的信息系統(tǒng)；c)評(píng)估者ISPP 或 ISST 評(píng)估者需要獲得相關(guān)的證實(shí) ISPP 或 ISST 技術(shù)正確性和有效性的信息。 ISPP或ISST的描述、信息系統(tǒng)描述、安全保障需求以及安全保障目的等部分主要針對(duì)用戶。同時(shí)，信息系統(tǒng)開發(fā)者也應(yīng)該認(rèn)真了解安全保障需

15、求和安全保障目的。ISPP中的安全保障要求部分、ISST中的信息系統(tǒng)概要規(guī)范部分主要針對(duì)信息系統(tǒng)的開發(fā)者。ISPP或ISST主要針對(duì)評(píng)估者。5ISPP 和 ISST 的編制過(guò)程信息系統(tǒng)安全保障要求根本上來(lái)源于對(duì)信息系統(tǒng)的目的、環(huán)境及其本身的考慮。圖1闡明了ISPP和ISST的編制過(guò)程。在GB/T 20274.1-2006附錄A和附錄B中，要求ISPP與ISST的編制應(yīng)按邏輯順序以“自上而下”的方式進(jìn)行。例如，ISPP的編制順序是：a)定義安全保障需求；b)確認(rèn)與安全保障需求對(duì)應(yīng)的安全保障目的； c)定義滿足安全保障目的的安全保障要求。ISPP與ISST的編制可能需要多次迭代，從而反映信息系統(tǒng)內(nèi)

16、部或外部環(huán)境的產(chǎn)生的新需求。例如： a)出現(xiàn)新的威脅；b)組織安全策略發(fā)生變化；c)信息系統(tǒng)的使命發(fā)生變化。圖1 ISPP和ISST的產(chǎn)生過(guò)程6ISPP 和 ISST 的描述部分6.1概述 本章為規(guī)范ISPP和ISST的描述部分提供指南，即：a)ISPP 和 ISST 標(biāo)識(shí)；b)ISPP 和 ISST 概述；c)ISPP 應(yīng)用注解。6.2ISPP 和 ISST 標(biāo)識(shí)ISPP或ISST標(biāo)識(shí)部分應(yīng)能提供足夠的信息，唯一標(biāo)識(shí)出ISPP或ISST。ISPP或ISST標(biāo)識(shí)部分至少包括具有唯一版本的ISPP或ISST名稱，以及用于標(biāo)識(shí)信息系統(tǒng)的內(nèi)容（例如，信息系統(tǒng)的名稱和版本號(hào)）。標(biāo)識(shí)部分還需包括用于編制

17、ISPP或ISST的GB/T 20274.1-2006的版本信息，以便于版本控制。 6.3ISPP 和 ISST 概述根據(jù)GB/T 20274.1-2006的要求，概述部分應(yīng)概要性描述ISPP或ISST。該部分應(yīng)包括ISPP或ISST所關(guān)注的、最主要的安全問(wèn)題，作為編制者判斷ISPP或ISST是否適合的依據(jù)。6.4ISPP 應(yīng)用注解ISPP應(yīng)用注解是ISPP中的可選項(xiàng)，可以自成一節(jié)，也可以將特定注釋內(nèi)容分散到ISPP的相應(yīng)部分，例如與安全保障要求一起描述。ISPP應(yīng)用注釋的一個(gè)典型應(yīng)用是提供如何在信息系統(tǒng)上下文中解釋特定安全保障要求的說(shuō)明，或ISST編制者的操作建議。如果ISPP應(yīng)用注解被整合

18、到整個(gè)ISPP中，建議清楚地標(biāo)識(shí)出該應(yīng)用注解，以使讀者能夠清楚地知道它是說(shuō)明性的文本。7信息系統(tǒng)描述7.1概述 本章為描述一個(gè)完整的信息系統(tǒng)提供指南。一個(gè)完整的信息系統(tǒng)描述應(yīng)包括信息系統(tǒng)使命描述、信息系統(tǒng)概要描述和信息系統(tǒng)詳細(xì)描述三部分。7.2信息系統(tǒng)使命描述信息系統(tǒng)使命，即從目的和意義對(duì)信息系統(tǒng)進(jìn)行高層描述，它是信息系統(tǒng)根本和本質(zhì)的要求。7.3信息系統(tǒng)概要描述信息系統(tǒng)概要描述是對(duì)信息系統(tǒng)進(jìn)行概括性說(shuō)明和描述，內(nèi)容如下：a)信息系統(tǒng)：包括信息系統(tǒng)名稱、所屬的組織機(jī)構(gòu)及其地點(diǎn)和最終用戶及其地點(diǎn)等相關(guān)信息；b)信息系統(tǒng)環(huán)境：描述信息系統(tǒng)的運(yùn)行、開發(fā)、集成和維護(hù)的環(huán)境；c)信息系統(tǒng)評(píng)估邊界和接口：描

19、述信息系統(tǒng)的邊界和相應(yīng)的外部接口，此描述建議采用圖表和文字相結(jié)合的方式，清晰地描述和界定信息系統(tǒng)部件和邊界；d)信息系統(tǒng)安全域：根據(jù)信息系統(tǒng)的重要性（描述信息系統(tǒng)的重要程度以及可接受的風(fēng)險(xiǎn)級(jí)別）、數(shù)據(jù)的分類和密級(jí)（描述信息系統(tǒng)所處理的數(shù)據(jù)類型和機(jī)密級(jí)別）、以及系統(tǒng)用戶（描述使用系統(tǒng)的用戶）等方面劃分系統(tǒng)的安全域。7.4信息系統(tǒng)詳細(xì)描述從管理體系、技術(shù)體系和業(yè)務(wù)體系分別對(duì)信息系統(tǒng)進(jìn)行詳細(xì)描述。a)管理體系：在管理體系中，需要對(duì)信息系統(tǒng)現(xiàn)有的組織結(jié)構(gòu)、所使用的規(guī)章制度和所涉及的重要資產(chǎn)進(jìn)行描述。組織機(jī)構(gòu)：描述同信息系統(tǒng)相關(guān)的管理/使用/開發(fā)/集成/支持等組織機(jī)構(gòu)，特別是與安全保障管理相關(guān)的組織機(jī)構(gòu)

20、的描述；規(guī)章制度：列出目前使用的、同信息系統(tǒng)管理相關(guān)的規(guī)章制度和相關(guān)； 資產(chǎn)：描述了信息系統(tǒng)的物理資產(chǎn)（信息系統(tǒng)中的各種硬件、軟件和物理設(shè)施）和信息資產(chǎn)（在信息系統(tǒng)計(jì)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄生命周期過(guò)程中產(chǎn)生的、有價(jià)值的信息以及信息系統(tǒng)所存儲(chǔ)、處理和傳輸?shù)母鞣N辦公、管理和業(yè)務(wù)等信息）。b)技術(shù)體系：技術(shù)體系是信息系統(tǒng)描述的核心，對(duì)信息系統(tǒng)的應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和技術(shù)標(biāo)準(zhǔn)進(jìn)行描述。技術(shù)體系的描述為業(yè)務(wù)體系的描述提供支持。網(wǎng)絡(luò)基礎(chǔ)設(shè)施：描述信息系統(tǒng)的網(wǎng)絡(luò)層次等網(wǎng)絡(luò)體系結(jié)構(gòu)；應(yīng)用：描述信息系統(tǒng)應(yīng)用的技術(shù)架構(gòu)；技術(shù)標(biāo)準(zhǔn)：描述應(yīng)用所采用的技術(shù)標(biāo)準(zhǔn)。c)業(yè)務(wù)體系：基于技術(shù)體系，業(yè)務(wù)體系對(duì)組

21、織機(jī)構(gòu)的主要業(yè)務(wù)進(jìn)行分類和描述，并通過(guò)業(yè)務(wù)流程和業(yè)務(wù)信息流來(lái)進(jìn)一步解釋。主要業(yè)務(wù)：列出組織機(jī)構(gòu)的主要業(yè)務(wù)并進(jìn)行描述；業(yè)務(wù)流程：基于組織機(jī)構(gòu)對(duì)主要業(yè)務(wù)的流程進(jìn)行描述；業(yè)務(wù)信息流：描述主要業(yè)務(wù)的接口和相應(yīng)數(shù)據(jù)流，數(shù)據(jù)流描述應(yīng)包括數(shù)據(jù)的類型以及數(shù)據(jù)傳送的方式。8安全保障需求8.1概述 本章為定義在ISPP或ISST中描述信息系統(tǒng)的安全保障需求提供指南，這一部分內(nèi)容的要求見GB/T 20274.1-2006的附錄定義安全保障需求首先應(yīng)識(shí)別信息系統(tǒng)的安全環(huán)境，根據(jù)安全環(huán)境定義信息系統(tǒng)的安全保障需求。安全環(huán)境應(yīng)描述信息系統(tǒng)的預(yù)期使用方式以及使用的環(huán)境范圍和特征。安全環(huán)境描述應(yīng)包括假設(shè)、威脅和組織安全策略，

22、如圖2所示。圖2 定義安全保障需求的過(guò)程本節(jié)包括以下內(nèi)容： a)依據(jù)信息系統(tǒng)安全環(huán)境的假設(shè)，定義出“安全保障需求”的范圍； b)依據(jù)需要保護(hù)的系統(tǒng)資產(chǎn)，包括：信息系統(tǒng)環(huán)境或信息系統(tǒng)本身典型的資產(chǎn)，以及已知的威脅主體和對(duì)系統(tǒng)資產(chǎn)的威脅； c)在處理安全保障需求時(shí)，必須服從的所有組織安全策略。 8.2識(shí)別和說(shuō)明假設(shè) GB/T 20274.1-2006要求ISPP或ISST的信息系統(tǒng)安全環(huán)境部分包括安全環(huán)境的假設(shè)或信息系統(tǒng)的預(yù)期用途。首先需要回答下面的問(wèn)題：對(duì)于信息系統(tǒng)安全環(huán)境和安全保障需求范圍，應(yīng)做出什么假設(shè)？例如，可能需要給出幾個(gè)假設(shè)來(lái)保證某個(gè)系統(tǒng)的潛在威脅實(shí)際上是與信息系統(tǒng)環(huán)境無(wú)關(guān)的。常用的假

23、設(shè)類型：a)有關(guān)信息系統(tǒng)預(yù)期用途的假設(shè)； b)信息系統(tǒng)任一部分的環(huán)境（例如，物理的）保護(hù)假設(shè)；c)連通性假設(shè)，例如信息系統(tǒng)與其他系統(tǒng)之間的網(wǎng)絡(luò)連接點(diǎn)；d)人員方面的假設(shè)，例如預(yù)期的用戶權(quán)限類型，他們的一般責(zé)任以及假設(shè)給予這些用戶的信任度等。通常情況下，不太可能一次就完全識(shí)別出所有假設(shè)，而應(yīng)在ISPP或ISST的整個(gè)編制過(guò)程中不斷識(shí)別出更多的假設(shè)。特別是在編制ISPP或ISST符合性聲明時(shí)，例如在闡明安全保障目的適于對(duì)抗已知的威脅時(shí)，應(yīng)考慮該威脅是否包含在ISPP或ISST的陳述中。為方便引用，建議對(duì)每個(gè)假設(shè)設(shè)定唯一的名稱或編號(hào)進(jìn)行標(biāo)識(shí)。8.3識(shí)別和說(shuō)明威脅8.3.1概述GB/T 20274.1

24、-2006要求ISPP或ISST包括所有對(duì)要保護(hù)資產(chǎn)的威脅的描述（見GB/T 20274.1-2006的附錄），但GB/T 20274.1-2006還指出：如果安全保障目的僅源于組織安全策略，也就是“安全保障需求”完全由組織的安全策略和假設(shè)來(lái)定義，那么就可以不需要進(jìn)行威脅分析。例如，在回應(yīng)招標(biāo)書或投標(biāo)邀請(qǐng)書給出的組織安全策略就屬于這種情況。在ISPP或ISST中安全需求被陳述為“威脅”會(huì)比陳述為相應(yīng)的“組織安全策略”要好，因?yàn)檫@有助于對(duì)安全需求的理解。另外，如果只使用組織安全策略陳述安全需求，那么可能出現(xiàn)不能及時(shí)更新假設(shè)威脅組織安全策略安全保障需求定義當(dāng)前威脅的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的重要意義在于正確

25、地識(shí)別資產(chǎn)以及對(duì)于資產(chǎn)的威脅，不應(yīng)低估風(fēng)險(xiǎn)分析的重要性。如果風(fēng)險(xiǎn)分析做不好，可能出現(xiàn)下列情況：a)信息系統(tǒng)可能會(huì)提供不充分的保護(hù)，那么組織的資產(chǎn)就可能面臨不可接受的風(fēng)險(xiǎn)；b)可能過(guò)高估計(jì)威脅，從而提高了實(shí)現(xiàn)成本及保障要求，并限制了潛在解決方案。GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架沒(méi)有提供風(fēng)險(xiǎn)分析的框架和組織規(guī)范，識(shí)別資產(chǎn)威脅的詳細(xì)討論也超出了本指導(dǎo)性技術(shù)文件的范圍，為了保持本指導(dǎo)性技術(shù)文件內(nèi)容的完整性，下面將陳述有關(guān)的一般性原理，另參見GB/T 20274.1-2006的第5章。有關(guān)這一主題的詳細(xì)指南，讀者可參考GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)

26、估規(guī)范等標(biāo)準(zhǔn)。8.3.2識(shí)別威脅8.3.3什么是威脅威脅是指那些不希望發(fā)生的事件，可能由已知的威脅主體引起，而使資產(chǎn)面臨風(fēng)險(xiǎn)，注意：對(duì)組織安全策略和假設(shè)的違背不應(yīng)算作風(fēng)險(xiǎn)。要識(shí)別風(fēng)險(xiǎn)是什么，應(yīng)回答下列問(wèn)題： a)需要保護(hù)的資產(chǎn)是什么？b)威脅主體是什么？c)需要保護(hù)資產(chǎn)免于什么攻擊方法或事件造成的損害？ 8.3.4識(shí)別資產(chǎn)在一個(gè)組織中，資產(chǎn)有多種表現(xiàn)形式，同樣的兩個(gè)資產(chǎn)也因?qū)儆诓煌男畔⑾到y(tǒng)而重要性不同，而且對(duì)于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時(shí)首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾缓髮?duì)資產(chǎn)進(jìn)行識(shí)別，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)

27、分類方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者靈活把握。例如根據(jù)資產(chǎn)的表現(xiàn)形式進(jìn)行分類，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型，如表3所示（參見 GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范）。識(shí)別資產(chǎn)的描述應(yīng)包括資產(chǎn)的價(jià)值、資產(chǎn)所有者、責(zé)任人等。表 3 資產(chǎn)分類8.3.5識(shí)別攻擊方法在確定要保護(hù)的資產(chǎn)和威脅主體之后，下一步就是識(shí)別可能導(dǎo)致資產(chǎn)受損的攻擊方法，應(yīng)基于對(duì)信息系統(tǒng)環(huán)境的了解來(lái)確認(rèn)攻擊方法，如： 內(nèi)部人員攻擊； 被動(dòng)攻擊； 主動(dòng)攻擊； 物理臨近攻擊； 分發(fā)攻擊。各種攻擊方式具體解釋如下：a)內(nèi)部人員攻擊內(nèi)部人員威脅通常由內(nèi)部合法人員造成，他們具有對(duì)

28、信息系統(tǒng)的合法訪問(wèn)權(quán)限。威脅分為惡意和非惡意兩種，即惡意攻擊和非惡意威脅。惡意攻擊是內(nèi)部人員出于各種目的，對(duì)所使用的信息系統(tǒng)實(shí)施攻擊。非惡意威脅是由于合法用戶的無(wú)意行為造成了對(duì)系統(tǒng)的攻擊，他們并非故意要破壞信息和系統(tǒng)，但由于誤操作、經(jīng)驗(yàn)不足、培訓(xùn)不足而導(dǎo)致一些特殊的行為，對(duì)系統(tǒng)造成了無(wú)意的破壞。典型的內(nèi)部人員攻擊：1)惡意修改數(shù)據(jù)和安全機(jī)制配置參數(shù)；2)惡意建立未授權(quán)的網(wǎng)絡(luò)連接，如：撥號(hào)連接；3)惡意的物理?yè)p壞和破壞；4)無(wú)意的數(shù)據(jù)損壞和破壞，如：誤刪除。b)被動(dòng)攻擊被動(dòng)攻擊主要包括被動(dòng)監(jiān)視開放的通信信道（如：無(wú)線電、衛(wèi)星、微波和公共通信網(wǎng)絡(luò)）上的傳送信息。被動(dòng)攻擊主要是了解所傳送的信息，一般

29、不易被發(fā)現(xiàn)。典型例子如下：分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)等軟件系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)句包、工具軟件、各種庫(kù)等應(yīng)用軟件：外部購(gòu)買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)

30、證等其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS） ，包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對(duì)外依賴該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其他企業(yè)形象，客戶關(guān)系等1)監(jiān)視通信數(shù)據(jù)；2)解密加密不當(dāng)?shù)耐ㄐ艛?shù)據(jù)；3)口令截獲；4)通信量分析。c)主動(dòng)攻擊主動(dòng)攻擊是攻擊者主動(dòng)對(duì)信息系統(tǒng)實(shí)施攻擊，包括企圖避開安全保護(hù)，引入惡意代碼，以及破壞數(shù)據(jù)和系統(tǒng)的完整性。典型的例子有：1)修改傳輸中

31、的數(shù)據(jù)；2)重放所截獲的數(shù)據(jù)；3)插入數(shù)據(jù)；4)盜取合法建立的會(huì)話；5)偽裝；6)越權(quán)訪問(wèn)；7)利用緩存區(qū)溢出（BOF）漏洞執(zhí)行代碼；8)插入和利用惡意代碼（如：特洛依木馬、后門、病毒等）；9)利用協(xié)議、軟件、系統(tǒng)故障和后門；10) 拒絕服務(wù)攻擊。d)鄰近攻擊（接近攻擊）此類攻擊的攻擊者試圖在地理上盡可能接近被攻擊的網(wǎng)絡(luò)、系統(tǒng)和設(shè)備，目的是修改、收集信息，或者破壞系統(tǒng)。這種接近可以是公開的和秘密進(jìn)入的，也可以是兩種都有，典型案例有：1)修改數(shù)據(jù)；2)收集信息；3)偷竊；4)物理破壞。e)分發(fā)攻擊分發(fā)攻擊是指在系統(tǒng)軟件和硬件的開發(fā)、生產(chǎn)、運(yùn)輸、安裝階段，攻擊者惡意修改設(shè)計(jì)、配置等行為。例如：1)

32、利用開發(fā)制造商的設(shè)備上修改軟硬件配置；2)在產(chǎn)品分發(fā)、安裝時(shí)修改軟硬件配置。8.3.6說(shuō)明威脅識(shí)別出信息系統(tǒng)或環(huán)境所處理的威脅之后，下一步就是將它們列入ISPP或ISST中。如前所述，信息系統(tǒng)安全環(huán)境部分應(yīng)清晰簡(jiǎn)明地陳述安全保障需求。 為了提供清晰的威脅說(shuō)明，威脅說(shuō)明應(yīng)包括以下細(xì)節(jié)： a)威脅主體（例如，信息系統(tǒng)的授權(quán)用戶）；b)受威脅控制的資產(chǎn)（例如，敏感數(shù)據(jù)）； c)使用的攻擊方法（例如，假冒的信息系統(tǒng)授權(quán)用戶）。陳述威脅的具體示例如下： 攻擊者可能通過(guò)假冒信息系統(tǒng)的授權(quán)用戶，未經(jīng)授權(quán)訪問(wèn)信息或資源； 信息系統(tǒng)的授權(quán)用戶可能假冒其他信息系統(tǒng)的授權(quán)用戶，未經(jīng)授權(quán)地訪問(wèn)信息或資源。如果將威脅描

33、述與描述項(xiàng)的解釋、資產(chǎn)受到的威脅范圍、以及威脅主體可能使用的攻擊方法一起綜合陳述，那么讀者就比較容易理解威脅描述。例如，上面陳述的威脅示例中，處于風(fēng)險(xiǎn)中的資產(chǎn)是用戶或假冒的用戶有權(quán)訪問(wèn)或獲取這些假冒的一系列的信息和資源。 為有助于確保簡(jiǎn)明描述威脅，威脅描述應(yīng)盡可能獨(dú)立，即：不同威脅之間應(yīng)盡可能不重疊。這樣既有助于避免使ISPP或ISST讀者產(chǎn)生混肴，也可以通過(guò)避免不必要的重復(fù)來(lái)簡(jiǎn)化ISPP或ISST符合性聲明。 如果以同樣詳細(xì)程度陳述所有威脅，那么威脅之間的重疊就容易避免。例如，如果特定攻擊情節(jié)與在ISPP或ISST的其他部分陳述的一般威脅有關(guān)，那么就不要陳述這樣的威脅，因?yàn)樗枋龅氖且言敿?xì)說(shuō)

34、明了的對(duì)特定資產(chǎn)的攻擊方法。每個(gè)威脅都應(yīng)唯一標(biāo)識(shí)以方便引用，標(biāo)識(shí)方式有： a)采用連續(xù)的編號(hào)進(jìn)行標(biāo)識(shí) （例如 T1、T2、T3 等）； b)采用簡(jiǎn)短而有意義的名稱進(jìn)行標(biāo)識(shí)。第一種方法的優(yōu)點(diǎn)是，編號(hào)通常很短，并易于參考。第二種方法的優(yōu)點(diǎn)是，使用名稱作為標(biāo)識(shí)，名稱具有充分的含義并且容易記憶。然而，在使用第二種標(biāo)識(shí)方法時(shí)，由于實(shí)際中限制名稱中字符數(shù)量，并且名稱還要含義準(zhǔn)確和易于記憶，因此，不可能在所有情況下都分配一個(gè)完整定義的標(biāo)識(shí)。威脅描述不應(yīng)僅涉及那些直接危害被保護(hù)資產(chǎn)的事件，還應(yīng)要考慮對(duì)資產(chǎn)的間接威脅，即針對(duì)威脅的措施間接導(dǎo)致資產(chǎn)損失的攻擊，例如對(duì)信息系統(tǒng)安全功能的旁路或篡改攻擊。針對(duì)間接威脅，

35、要特別注意以下幾點(diǎn)： a)不要將間接威脅作為信息系統(tǒng)安全環(huán)境，否則會(huì)使讀者過(guò)早涉及信息系統(tǒng)的實(shí)現(xiàn)細(xì)節(jié)，從而產(chǎn)生困惑；b)不要將間接威脅納入已有的威脅范圍之內(nèi)。 例如，如果威脅X可能損害資產(chǎn)Y，則任何旁路對(duì)抗威脅X的措施也可能導(dǎo)致資產(chǎn)Y的損害。由于這種旁路威脅是一種已經(jīng)隱含在威脅X內(nèi)的攻擊方法，不應(yīng)再將它作為單獨(dú)的威脅陳述出來(lái)。 還應(yīng)注意到，當(dāng)需要選擇GB/T 20274.1-2006中有依賴關(guān)系的組件形成安全保障要求時(shí)，必須考慮對(duì)信息系統(tǒng)安全措施的攻擊方法，比如旁路或篡改攻擊。任何對(duì)信息系統(tǒng)安全功能的可行攻擊都應(yīng)在信息系統(tǒng)評(píng)估期間被全部羅列出來(lái)。 8.4識(shí)別和確定組織安全策略GB/T 2027

36、4.1-2006的附錄要求信息系統(tǒng)安全環(huán)境部分包括信息系統(tǒng)必須服從的所有組織安全策略的描述，但GB/T 20274.1-2006又指出：如果安全保障目的僅源于威脅，也就是“安全保障需求”完全由威脅來(lái)定義，那么就可以忽略組織安全策略的陳述。組織安全策略是指組織機(jī)構(gòu)為保障其運(yùn)轉(zhuǎn)而規(guī)定的若干安全規(guī)則、程序、規(guī)范和指南。組織安全策略可能需要由信息系統(tǒng)或其環(huán)境或由兩者一起實(shí)施。 如果ISPP或ISST指定了組織安全策略及威脅，那么就應(yīng)在信息系統(tǒng)安全環(huán)境部分給出安全保障需求的簡(jiǎn)明陳述。僅以不同形式簡(jiǎn)單重述某個(gè)威脅的組織安全策略，通常是無(wú)用的。該現(xiàn)象僅出現(xiàn)在組織強(qiáng)制要求對(duì)某個(gè)組織安全策略進(jìn)行聲明的情況，實(shí)際

37、上這個(gè)組織安全策略是對(duì)一個(gè)已存在的威脅的重新聲明。例如，如果已經(jīng)識(shí)別出一個(gè)威脅“非授權(quán)者可能獲得對(duì)信息系統(tǒng)的邏輯訪問(wèn)”，再給出如下陳述的組織安全策略“必須在信息系統(tǒng)訪問(wèn)被接納之前鑒別信息系統(tǒng)的合法用戶”，并不會(huì)賦予更多信息。這個(gè)組織安全策略不僅以不同方式重述這個(gè)威脅，而且也重復(fù)了安全保障目的的定義。如果只陳述一次，ISPP或ISST將更清晰易懂。 一般的規(guī)則是：信息系統(tǒng)預(yù)期由特定組織或一類組織使用，或信息系統(tǒng)需要實(shí)現(xiàn)一組明顯不包含或僅隱含在威脅描述中的規(guī)則時(shí)，制定出組織安全策略才是適當(dāng)?shù)?。例如：a)標(biāo)識(shí)所使用的信息流控制規(guī)則； b)標(biāo)識(shí)所使用的訪問(wèn)控制規(guī)則； c)定義有關(guān)安全審計(jì)的組織策略；d

38、)強(qiáng)制性要求，例如使用特別批準(zhǔn)的密碼算法，或使用與認(rèn)定的指南相一致的密碼算法。應(yīng)唯一標(biāo)識(shí)每個(gè)組織安全策略以便于引用。 8.5明確安全保障需求定義定義安全保障需求的最后一個(gè)階段是完成安全保障需求定義詳述，包括兩件工作： 準(zhǔn)備假設(shè)、威脅、組織安全策略的列表； 執(zhí)行一致性和完整性檢查，確定安全保障需求。9安全保障目的9.1概述 本章提供在ISPP或ISST中識(shí)別和制定安全保障目的的指南，這方面要求見GB/T 20274.1-2006的附錄安全保障目的是對(duì)安全保障需求預(yù)期響應(yīng)的簡(jiǎn)明陳述，換言之，如果在安全環(huán)境中已經(jīng)陳述了安全保障需求，那么就必須在安全保障目的的陳述中明確地界定出安全保障需求是由信息系統(tǒng)

39、還是由環(huán)境來(lái)滿足或?qū)崿F(xiàn)的。如圖3所示：圖3 安全保障目的的作用圖3中明確標(biāo)識(shí)出GB/T 20274.1-2006要求的兩種類型的安全保障目的，它們?cè)贗SPP或ISST中是明確分開的： a)信息系統(tǒng)安全保障目的，由信息系統(tǒng)的安全保障措施來(lái)滿足；b)環(huán)境安全保障目的，由信息系統(tǒng)外部環(huán)境來(lái)滿足，例如國(guó)家或行業(yè)的政策與法律法規(guī)。信息系統(tǒng)的安全保障目的包括由信息系統(tǒng)安全保障控制措施和信息系統(tǒng)安全保障能力級(jí)別。信息系統(tǒng)安全保障目的基于下面一系列的步驟產(chǎn)生：a)安全保障目的要覆蓋所有威脅、組織安全策略和假設(shè)；b)識(shí)別信息系統(tǒng)安全保障目的；c)識(shí)別環(huán)境安全保障目的；d)關(guān)聯(lián)威脅、組織安全策略和假設(shè)的安全保障目

40、的的符合性聲明。9.2威脅、假設(shè)和組織安全策略的列表首先，從安全保障需求定義中裁減所有適用的威脅、組織安全策略和假設(shè)的列表。特別是由于假設(shè)不會(huì)產(chǎn)生安全保障目的的威脅，這些威脅應(yīng)被裁減。保留下的威脅、組織安全策略和假設(shè)應(yīng)按照以下類型區(qū)分： 與信息系統(tǒng)環(huán)境有關(guān)的； 與信息系統(tǒng)有關(guān)的。9.3信息系統(tǒng)環(huán)境保障目的環(huán)境安全保障目的使用唯一性標(biāo)識(shí)以便于引用，采用的標(biāo)識(shí)方法最好能區(qū)別環(huán)境安全保障目的和信息系統(tǒng)安全保障目的。如果采用序列編號(hào)，應(yīng)為兩類安全保障目的分別編號(hào)（如對(duì)環(huán)境安全保障目的使用OE1、OE2、OE3等）。9.4信息系統(tǒng)安全保障目的信息系統(tǒng)安全保障目的可進(jìn)一步細(xì)分為安全技術(shù)保障目的、安全管理保

41、障目的和安全工程保障目的。安全技術(shù)保障目的，是從信息系統(tǒng)安全角度達(dá)到信息系統(tǒng)安全保障目標(biāo)?？蓪踩夹g(shù)保障目的進(jìn)一步分解為對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的目的、對(duì)邊界安全的目的、對(duì)計(jì)算環(huán)境的目的和對(duì)支撐性安全基礎(chǔ)設(shè)施的目的以及端到端的安全技術(shù)保障目的。安全管理保障目的，是根據(jù)通過(guò)覆蓋信息系統(tǒng)生命周期的各階段的管理域來(lái)標(biāo)準(zhǔn)化建立完善的信息安全保障管理體系，從而在實(shí)現(xiàn)信息能夠充分共享的基礎(chǔ)上，同時(shí)保障信息和其他資產(chǎn)，保證業(yè)務(wù)的持續(xù)性并使業(yè)務(wù)的損失最小化。可將安全管理保障目的進(jìn)一步分解為安全風(fēng)險(xiǎn)管理、安全策略管理和安全運(yùn)行等。安全工程保障目的，是對(duì)信息系統(tǒng)工程過(guò)程進(jìn)行標(biāo)準(zhǔn)化。依據(jù)信息系統(tǒng)的安全工程過(guò)程生命周期，可將

42、安全工程保障目的進(jìn)一步分解為挖掘安全需求、定義安全保障要求、設(shè)計(jì)體系結(jié)構(gòu)、詳細(xì)安全設(shè)計(jì)、實(shí)現(xiàn)系統(tǒng)安全和有效性評(píng)估等。GB/T 20274.1-2006的附錄要求信息系統(tǒng)安全保障目的可明確映射到相關(guān)威脅或組織安全策略，因此需要確保：a)每個(gè)已知的、由信息系統(tǒng)完全或部分對(duì)抗的威脅，至少被一個(gè)安全保障目的所覆蓋； b)每個(gè)已知的、由信息系統(tǒng)完全或部分符合的組織安全策略，至少被一個(gè)安全保障目的所覆蓋。這一映射可以通過(guò)交叉引用或用表格形式提供。要求的信息在符合性聲明中提供。在安全保障目的部分提供映射對(duì)ISPP或ISST讀者來(lái)講更有幫助。描述遵從組織安全策略的安全保障目的時(shí)，引用組織安全策略比重述完整的實(shí)

43、現(xiàn)規(guī)則更適用。 唯一標(biāo)識(shí)信息系統(tǒng)安全保障目的以便于引用，標(biāo)識(shí)方法可采用序列編號(hào)（如O1、O2、O3等），也可采用簡(jiǎn)短而有意義的名稱。10安全保障要求10.1概述 本章提供有關(guān)ISPP與ISST中的信息系統(tǒng)安全保障的編制指導(dǎo)，此指導(dǎo)不僅適用于信息系統(tǒng)安全保障要求而且適用于環(huán)境的安全保障要求。在ISPP與ISST中說(shuō)明了下列類型的信息系統(tǒng)安全保障要求，如圖4所示： a)信息系統(tǒng)的安全保障技術(shù)要求（STR），標(biāo)識(shí)出確保達(dá)到信息系統(tǒng)安全保障目的的安全技術(shù)保障要求； b)信息系統(tǒng)的安全保障管理要求（SMR），標(biāo)識(shí)出確保達(dá)到信息系統(tǒng)安全保障目的的安全管理保障要求；c)信息系統(tǒng)的安全保障工程要求（SER），

44、標(biāo)識(shí)出確保達(dá)到信息系統(tǒng)安全保障目的的安全工程保障要求；d)信息系統(tǒng)的環(huán)境安全保障要求（這些在 ISPP 或 ISST 是可選的）。 安全技術(shù)要求信息系統(tǒng)安全保障要求GB/T 20274.2-2008第 2 部分GB/T 20274.3-2008第 3 部分GB/T 20274.4-2008第 4 部分安全管理要求安全工程要求圖4 信息系統(tǒng)安全保障要求除信息系統(tǒng)安全技術(shù)、管理和工程要求組件外，對(duì)ISPP與ISST的信息系統(tǒng)安全保障要求部分需要說(shuō)明信息系統(tǒng)安全技術(shù)強(qiáng)度的最低級(jí)別，并在相關(guān)地方對(duì)強(qiáng)度進(jìn)行明確聲明（見GB/T 20274.1-2006的附錄圖4表明，信息系統(tǒng)安全保障要求的顯著特點(diǎn)是，盡

45、可能用GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008中定義的保障組件來(lái)構(gòu)建。GB/T 20274.1-2006的意圖是確保安全保障要求以標(biāo)準(zhǔn)化的方式提出。使用GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008表達(dá)信息系統(tǒng)安全保障要求更有利于ISPP與ISST之間的對(duì)比。 在有些情況下允許不用GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008的組件來(lái)陳述安全保障要求，但這些要求必須是明確的、可評(píng)估的，并且采用與GB/T 202

46、74.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008相同的風(fēng)格描述組件。GB/T 20274.2-2008、GB/T 20274.3-2008、GB/T 20274.4-2008允許STR、SMR和SER有一定程度的靈活性，允許通過(guò)實(shí)施一系列的操作以滿足相應(yīng)的安全保障要求。這些操作包括：賦值、反復(fù)、選擇和細(xì)化，用于特殊數(shù)據(jù)項(xiàng)的顯示和（或）修改。 在本指導(dǎo)性技術(shù)文件中，10.2提供了對(duì)GB/T 20274.2-2008技術(shù)組件進(jìn)行操作的指導(dǎo)，10.3提供了對(duì)GB/T 20274.3-2008管理組件的操作指導(dǎo)，10.4提供了對(duì)GB/T 20274.4-200

47、8工程組件的操作指導(dǎo)。每個(gè)安全保障要求組件都有唯一的基于分類標(biāo)準(zhǔn)的參考名。例如：a)GB/T 20274.2-2008“F”表示它是技術(shù)（功能）組件；“AU”表示它屬于STR的安全審計(jì)類；“GEN”表示它屬于該類中安全審計(jì)數(shù)據(jù)產(chǎn)生子類； “1”表示它屬于該子類中審計(jì)數(shù)據(jù)產(chǎn)生組件； “2”表示它是該組件中的第二個(gè)元素。 b)GB/T 20274.3-2008 中的組件 MPS_SAT.2 具有如下含義：“M”表明它是管理組件；“PS”表明它屬于SMR的“人員安全”類；“SAT”表明它屬于“安全意識(shí)和培訓(xùn)”子類；“2”表明它屬于該子類中的“安全培訓(xùn)”組件。c)GB/T 20274.4-2008 中

48、的 PEN_SEE.2 具有如下含義：“P”表示它是工程組件；“EN”表示屬于SER的“工程過(guò)程”類；“SEE”表示它屬于該類中的“安全工程實(shí)施”子類；“2”表示它屬于該子類中的“系統(tǒng)試運(yùn)行”組件。STR、SMR和SER的選擇以組件為單位。如果在ISPP與ISST中包括某個(gè)組件，則組件中所有已定義的元素都應(yīng)包括進(jìn)來(lái)。要注意組件間有兩種關(guān)聯(lián)類型，它會(huì)影響信息系統(tǒng)安全保障要求的選擇：a)； b)已經(jīng)定義的組件可能與其他子類中的組件有依賴關(guān)系。例如，F(xiàn)AU_SAA.1（潛在侵害分析）依賴于 FAU_GEN.1（審計(jì)數(shù)據(jù)產(chǎn)生）。這些組件也必須包括在 ISPP 與 ISST 中，除非依賴性可以表明與威脅

49、和安全保障目的無(wú)關(guān)。10.2安全技術(shù)保障要求10.2.1安全技術(shù)保障要求的選擇 在定義了安全保障需求并以安全技術(shù)保障目的的形式對(duì)應(yīng)了這些需求之后，現(xiàn)在需要詳細(xì)闡述安全技術(shù)要求將如何滿足這些安全保障目的。首先，選擇一組適當(dāng)?shù)腟TR組件，如果預(yù)先定義與信息系統(tǒng)的安全保障目的相關(guān)的技術(shù)組件包，將簡(jiǎn)化STR的選擇過(guò)程。為ISPP或ISST選擇STR的過(guò)程分幾個(gè)階段，在選擇過(guò)程中要注意區(qū)別以下兩種類型的STR： a)主要的 STR，它直接滿足信息系統(tǒng)安全保障目的； b)支持性的 STR，它不直接滿足信息系統(tǒng)安全保障目的，但對(duì)主要的 STR 提供支持，從而間接支持相應(yīng)信息系統(tǒng)安全保障目的。 GB/T 20

50、274.1-2006沒(méi)有明確區(qū)別這兩種類型的STR，但其差別暗含在功能組件間的依賴性或STR間的相互支持中。因此，沒(méi)有必要在ISPP或ISST中明確區(qū)分這兩類STR，但在編寫安全保障目的符合性聲明時(shí)，認(rèn)識(shí)到存在這兩類STR是非常有益的。在選擇STR時(shí)，首先識(shí)別出能夠滿足信息系統(tǒng)一個(gè)安全保障目的的一組主要的STR，再識(shí)別出一組完整的支持性STR。如前所述，所有STR（不論主要的或支持性的）應(yīng)該用適當(dāng)?shù)腉B/T 20274.2-2008中的技術(shù)保障組件來(lái)表達(dá)。當(dāng)從GB/T 20274.2-2008中選擇組件時(shí)，應(yīng)參考在GB/T 20274.2-2008的附錄中技術(shù)保障組件依賴關(guān)系表。 兩種類型ST

51、R之間的關(guān)系如圖5所示，注意這種關(guān)系與ISPP或ISST符合性聲明相關(guān)，要求表現(xiàn)STR之間的相互支持。它包含了對(duì)支持性STR提供支持的性質(zhì)的解釋，從而保證了信息系統(tǒng)安全技術(shù)保障目的得到滿足。圖5 主要的STRs和支持性的STRs的關(guān)系信息系統(tǒng)安全技術(shù)保障目的主要的 STRs支持性的 STRs直接滿足提供支持間接滿足識(shí)別完整的支持性STR的過(guò)程分3個(gè)階段：a)識(shí)別出所需的用于滿足（認(rèn)為它適用的話）所有主要 STR 依賴性的 STR（像 GB/T 20274.2-2008 中定義相關(guān)技術(shù)組件一樣）。它包括本階段識(shí)別的支持性 STR 的所有依賴性； b)識(shí)別為確保達(dá)到信息系統(tǒng)安全保障目的補(bǔ)充 STR

52、。它包括用來(lái)抵抗組合攻擊的 STR；c)識(shí)別補(bǔ)充 STR 的支持性 STR（認(rèn)為它適用的話），以滿足那些在 a）和 b）這兩個(gè)階段中選擇的 STR 的依賴關(guān)系。 支持性STR滿足GB/T 20274.2-2008中給出的依賴關(guān)系的識(shí)別過(guò)程，可能需要多次反復(fù)，例如： a)假設(shè) ISPP 或 ISST 要包括的安全保障目的要求信息系統(tǒng)在檢測(cè)到即將發(fā)生安全事故時(shí)做出響應(yīng)，這會(huì)導(dǎo)致將基于 FAU_ARP.1 組件（安全警告）作為主要 STR 包含進(jìn)來(lái)； b)根據(jù) GB/T 20274.2-2008； c)，該組件也要作為支持性 STR 應(yīng)被包含進(jìn)來(lái)； d)，該組件也要作為支持性 STR 應(yīng)被包含進(jìn)來(lái)；

53、 e)FPT_STM.1 則不需要引入別的功能組件。GB/T 20274.1-2006允許部分有依賴關(guān)系產(chǎn)生的STR不滿足安全保障目的，但需要作者對(duì)此進(jìn)行合理的解釋。依賴性應(yīng)以一致的方式被使用，例如，對(duì)于FAU_ARP.1而言，其一致性是由該組件的性質(zhì)決定的（即：FAU_ARP.1依賴于對(duì)可能發(fā)生的安全違規(guī)的預(yù)測(cè)，這種違規(guī)是用FAU_SA來(lái)定義的）。對(duì)另外一些組件來(lái)說(shuō)，保證一致性可能比較困難。例如，對(duì)于組件FDP_ACC.1，ISPP或ISST將識(shí)別出與之相關(guān)的特殊“反復(fù)操作”，那么對(duì)每個(gè)訪問(wèn)控制SFP，都需要滿足對(duì)FDP_ACF.1的依賴性。對(duì)額外的支持性STR的識(shí)別（例如在GB/T 202

54、74.2-2008中未被識(shí)別的依賴性）包括GB/T 20274.2-2008中未提及的STR的識(shí)別對(duì)支持達(dá)到信息系統(tǒng)安全保障目的是必須的。這類的STR一般通過(guò)減少攻擊者可利用的選擇或機(jī)會(huì)提供支持，或增加攻擊者要實(shí)現(xiàn)成功攻擊所需達(dá)到的專業(yè)知識(shí)水平或資源。應(yīng)根據(jù)安全保障需求和安全保障目的考慮下述問(wèn)題：a)基于 GB/T 20274.2-2008 中同類相關(guān)組件的 STR。比如，如果包括組件 FAU_GEN.1（審計(jì)數(shù)據(jù)產(chǎn)生），那么就隱含著一個(gè)產(chǎn)生和維護(hù)存儲(chǔ)所產(chǎn)生數(shù)據(jù)（需要一個(gè)或多個(gè)來(lái)自 FAU_STG 子類的功能組件）的安全審計(jì)蹤跡的組件，以及利用工具審查所產(chǎn)生的審計(jì)數(shù)據(jù)（需要一個(gè)或多個(gè)來(lái)自 FA

55、U_SAR 子類的功能組件）的組件。或者將所產(chǎn)生的審計(jì)數(shù)據(jù)輸出到其他系統(tǒng)去審查；b)基于 FPT 類相關(guān)組件的 STR。這類 STR 一般保護(hù)其他 STR 所依賴的 TSF 或 TSF 數(shù)據(jù)的完整性和可用性。以 FPT_AMT.1（抽象機(jī)測(cè)試）和 FPT_SEP（域分離）子類的組件為例，當(dāng)有確定的需求要保護(hù) TSF 使之不出故障、不被中斷或不被（可能是惡意的）修改時(shí)，可能需要上述組件支持相應(yīng)的安全保障目的；c)基于 FMT 類相關(guān)組件的 STR。這些組件用于規(guī)定所有需要支持的安全管理 STR，以處理取消安全屬性的 FMT_REV.1 組件為例，在含有處理安全屬性（如訪問(wèn)控制）的 STR 時(shí)，可

56、以考慮使用這類相關(guān)組件。應(yīng)根據(jù)安全保障目的選擇支持性的STR，尤其要考慮STR應(yīng)該是相互支持的、緊密結(jié)合的、有效的整體。構(gòu)建ISPP符合性聲明的過(guò)程會(huì)影響那些支持性STR的選擇，因?yàn)榉闲月暶餍枰C明STR是相互支持的、完整的、有效的整體。強(qiáng)烈建議不要選取與安全保障目的無(wú)關(guān)的支持性STR，因?yàn)檫@樣會(huì)讓ISPP或ISST不易被接受，其原因是：a)STR 不適用某些信息系統(tǒng)；b)增加 STR 的數(shù)量會(huì)增加成本及對(duì)不必要需求的維護(hù)。如果ISPP以相關(guān)ISPP為基礎(chǔ)編寫，那么選擇STR的過(guò)程會(huì)大大簡(jiǎn)化。相同的，如果ISST以相關(guān)ISST為基礎(chǔ)編寫，那么選擇STR的過(guò)程也會(huì)大大簡(jiǎn)化。ISPP和ISST應(yīng)

57、包括不同的STR，并考慮信息系統(tǒng)中的安全環(huán)境和（或）安全保障目的之間的差異。10.2.2安全技術(shù)保障要求的操作根據(jù)GB/T 20274.2-2008，安全技術(shù)控制組件可以依據(jù)本指導(dǎo)性技術(shù)文件中定義的操作使用，也可以通過(guò)使用安全保障控制組件允許的操作，對(duì)安全技術(shù)控制組件進(jìn)行裁剪，以滿足特定的安全策略或應(yīng)對(duì)特定的威脅。安全技術(shù)控制組件標(biāo)識(shí)并定義了組件是否允許“賦值”、“選擇”和“細(xì)化”等操作，在哪些情況下可對(duì)組件使用這些操作，以及使用這些操作的結(jié)果。允許的操作如下所述：a)反復(fù)：采用不同的操作多次使用同一組件；b)賦值：對(duì)指定參數(shù)的詳述；c)選擇：對(duì)列表中的一個(gè)或多個(gè)元素的選擇；d)細(xì)化：對(duì)安全保

58、障要求組件增加細(xì)節(jié)，細(xì)化了可能接受的解決辦法，但不引入任何新的 STR的依賴性。10.2.3GB/T 20274.2-2008 中未包含的 STR 的說(shuō)明如果ISPP或ISST增加GB/T 20274.2-2008中未定義的保障要求時(shí)，應(yīng)按GB/T 20274.2-2008中組件的表達(dá)模式構(gòu)建STR?？梢酝ㄟ^(guò)恰當(dāng)應(yīng)用細(xì)化、賦值、選擇等操作構(gòu)建新的STR。一般情況下，建議ISPP中不要輕易添加保障組件，因?yàn)檫@樣會(huì)使安全保障要求的含義或意圖變得模糊，進(jìn)而增加對(duì)其他不適于包括在ISPP中的組件的依賴性。使用GB/T 20274.2-2008保障組件的表達(dá)模式，構(gòu)建新的STR，具體表達(dá)模式如下： a)

59、使用與 GB/T 20274.2-2008 組件相同的抽象程度； b)使用與 GB/T 20274.2-2008 組件相似的風(fēng)格和措辭；c)使用 GB/T 20274.2-2008 組件采用的拓?fù)浜瓦壿?。新?gòu)建的STR具有與類或子類中其他組件相似的性質(zhì)，使用整個(gè)類或子類通用概念的特定用詞，有助于減少對(duì)它的陌生感。 GB/T 20274.2-2008中的組件表現(xiàn)風(fēng)格的獨(dú)特性包括： a)多數(shù)安全保障要求組件是以短語(yǔ)“TSF 將將”或“TSF 將能夠?qū)⒛軌颉遍_始的，后面跟著這樣的動(dòng)詞：檢測(cè)、執(zhí)行、確保、限制、監(jiān)視、防止、保護(hù)、提供檢測(cè)、執(zhí)行、確保、限制、監(jiān)視、防止、保護(hù)、提供或限制限制；b)使用標(biāo)準(zhǔn)

60、術(shù)語(yǔ)，如：安全屬性安全屬性、授權(quán)管理員授權(quán)管理員等；c)每個(gè)元素往往各自獨(dú)立并無(wú)須引用以前元素即可理解。 d)每個(gè)安全保障要求必須是可評(píng)估的，即必須是可以判定它是否被信息系統(tǒng)實(shí)現(xiàn)。當(dāng)形成符合上述風(fēng)格的STR后，還應(yīng)考慮是否： a)允許 ISST 作者對(duì)該 STR 實(shí)施賦值或選擇操作； b)有依賴關(guān)系的其他 STR 必須包括在 ISPP 或 ISST 中；c)STR 描述應(yīng)審計(jì)的所有事件，以及應(yīng)記錄這些事件的那些信息；d)STR 有安全管理的含義，如依賴需要管理的安全屬性。如果構(gòu)建了一個(gè)比GB/T 20274.2-2008中已有的功能組件更好的STR，可以考慮在標(biāo)準(zhǔn)下一次修改時(shí)提交這個(gè)STR。