《信息技術 安全技術 信息技術安全評估準則 第1部分：簡介和一般模型》編制說明

一、任務來源

根據(jù)國家標準化管理委員會2012年下達的國家標準制修訂計劃，國家標準《信息

技術安全技術信息技術安全評估準則》由中國信息安全測評中心負責主辦，標準計劃

號為20120542-T-469（全國信息安全標準化技術委員會2012年信息安全專項）。

二、編制原則

1)保持與國際接軌，在跟蹤分析和了解國際標準的發(fā)展情況下，積極采納國際上

先進行的標準，吸收先進的思想。

2)提高可讀性，在全面了解國際標準的精神基礎上，充分汲取我們對GB/T

18336-2008版的認識，對專業(yè)技術概念進行本地化。

3)充分考慮可操作性，對安全要素的定義賦值等，充分考慮在評估和開發(fā)過程中

的可操作性。

4)CC3.1的R1、R2和R3版分別于2006年9月、2007年9月和2009年7月，

2012年9月CCDB又發(fā)布了CC3.1R4，而ISO/IEC15408:2009采納的是CC3.1R3

版，鑒于GB/T18336是等同采用ISO的標準，為保持與國際標準同步，我們將

ISO/IEC15408:2009即CC3.1R3作為本次GB/T18336-201X的修訂版。

三、主要工作過程

1）2012年10月成立了《信息技術安全技術信息技術安全評估準則》標準編寫組。

2）2012年10月-2013年7月，參照ISO/IEC15408:2008對《信息技術安全技術

信息技術安全評估準則》進行修訂，并在征求了北大教授王立福的意見后形成《信息技

術安全技術信息技術安全評估準則》草案（第一稿）。

3）2013年8月8日，參加安標委WG5工作組專家評審會，《信息技術安全技術信

息技術安全評估準則》草案通過了評審。出席評審會的專家包括王立福（組長）、曲成

義、趙戰(zhàn)生、肖京華、顧健，以及WG7秘書許玉娜。會后，根據(jù)評會專家意見進行修改

（參見標準草案稿意見匯總處理表），形成并提交《信息技術安全技術信息技術安全

評估準則》草案（第二稿）。

4)2013年8月12日至2013年8月18日,信安標委WG5工作組組織各成員單位對

標準草案進行了投票，2013年8月26日至8月30日，根據(jù)投票意見對標準草案進行了

修訂，形成征求意見稿。

四、標準的主要內(nèi)容

GB/T18336《信息技術安全技術信息技術安全評估準則》（等同于

ISO/IEC15408）（通常也簡稱通用準則——CC）已于2001年3月正式頒布，并于2008

年發(fā)布了第二版。該標準是評估信息技術產(chǎn)品安全性的基礎準則。ISO/IEC15408是國際

標準化組織統(tǒng)一現(xiàn)有多種評估準則努力的結(jié)果。其發(fā)展的主要階段為：

1996年，六國七方（英國、加拿大、法國、德國、荷蘭、美國國家安全局和美國標

準技術研究所）公布《信息技術安全性通用評估準則》（CC1.0版）；

1999年12月，ISO接受CC2.1為國際標準ISO/IEC15408：1999標準，并正式頒

布發(fā)行；

2005年10月，ISO通過CC2.3為國際標準ISO/IEC15408：2005標準，并正式頒

布發(fā)行；

2009年12月，ISO通過CC3.1為國際標準ISO/IEC15408：2009標準，并正式頒

布發(fā)行。

CC定義了作為評估信息技術產(chǎn)品安全性的基礎準則，提出了目前國際上公認的表述

信息技術安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品安全行為的功能要求以及解決如何

正確有效的實施這些功能的保證要求。功能和保證要求又以“類——族——組件”的結(jié)

構(gòu)表述，組件作為安全要求的最小構(gòu)件塊，可以用于“保護輪廓”、“安全目標”和“包”

的構(gòu)建，例如由保證組件構(gòu)成典型的包——“評估保證級”。另外，功能組件還是連接

CC與傳統(tǒng)安全機制和服務的橋梁，以及解決CC同已有準則如TCSEC、ITSEC的協(xié)調(diào)關系，

如功能組件構(gòu)成TCSEC的各級要求。

CC特點體現(xiàn)在其結(jié)構(gòu)的開放性、表達方式的通用性以及結(jié)構(gòu)和表達方式的內(nèi)在完備

性和實用性四個方面：

1.在結(jié)構(gòu)的開放性方面，CC提出的安全功能要求和安全保證要求都可以在具體的

“保護輪廓”和“安全目標”中進一步細化和擴展，如可以增加“備份和恢復”

方面的功能要求或一些環(huán)境安全要求。這種開放式的結(jié)構(gòu)更適應信息技術和信

息安全技術的發(fā)展。

2.通用性的特點，即給出通用的表達方式。如果用戶、開發(fā)者、評估者、認可者

等目標讀者都使用CC的語言，互相之間就更容易理解溝通。如用戶使用CC的

語言表述自己的安全需求，開發(fā)者就可以針對性地描述產(chǎn)品的安全性，評估者

也更容易有效客觀地進行評估，并確保評估結(jié)果對用戶而言更容易理解。這種

特點對規(guī)范實用方案的編寫和安全性測試評估都具有重要意義。這種特點也是

在經(jīng)濟全球化發(fā)展、全球信息化發(fā)展的趨勢下，進行合格評定和評估結(jié)果國際

互認的需要。

3.CC的這種結(jié)構(gòu)和表達方式具有內(nèi)在完備性和實用性的特點，具體體現(xiàn)在“保護

輪廓”和“安全目標”的編制上?！氨Ｗo輪廓”主要用于表達一類產(chǎn)品的用戶

需求，在標準化體系中可以作為安全技術類標準對待。其內(nèi)容主要包括：對該

類產(chǎn)品的界定性描述，即確定需要保護的對象；確定安全環(huán)境，即指明安全問

題——需要保護的資產(chǎn)、已知的威脅、用戶的組織安全策略；產(chǎn)品的安全目的，

即對安全問題的相應對策——技術性和非技術性措施；信息技術安全要求，包

7

括功能要求、保證要求和環(huán)境安全要求，這些要求通過滿足安全目的，進一步

提出具體在技術上如何解決安全問題；基本原理，指明安全要求對安全目的、

安全目的對安全環(huán)境是充分且必要的；以及附加的補充說明信息。

4.“保護輪廓”編制，一方面解決了技術與真實客觀需求之間的內(nèi)在完備性；另

一方面用戶通過分析所需要的產(chǎn)品面臨的安全問題，明確所需的安全策略，進

而確定應采取的安全措施，包括技術和管理上的措施，這樣就有助于提高安全

保護的針對性、有效性。“安全目標”在“保護輪廓”的基礎上，通過將安全

要求進一步針對性具體化，解決了要求的具體實現(xiàn)。常見的實用方案就可以當

成“安全目標”對待。通過“保護輪廓”和“安全目標”這兩種結(jié)構(gòu)，就便于

將CC的安全性要求具體應用到IT產(chǎn)品的開發(fā)、生產(chǎn)、測試、評估和信息系統(tǒng)

的集成、運行、評估、管理中。

ISO/IEC15408將使各個獨立的安全評估其結(jié)果具有可比性。這通過在安全評估時，

提供一套針對信息技術（IT）產(chǎn)品安全功能及其保證措施的通用要求來實現(xiàn)。評估過程

建立一個信任級別，表明該產(chǎn)品的安全功能及其保證措施都滿足這些要求。評估結(jié)果可

以幫助用戶確定該IT產(chǎn)品對他們的預期應用而言是否足夠安全及其使用帶來的固有安

全風險是否可容忍。

第1部分：簡介和一般模型，它定義了IT安全性評估的一般概念和原理，并提出

了評估的一般模型。

第2部分：安全功能要求，建立一系列功能組件，作為表述TOE功能要求的標準方

法。第2部分列出了一系列功能組件、族和類。

第3部分：安全保證要求，建立一系列保證組件，作為表述TOE保證要求的標準方

法。

與GB/T18336-2008的主要差異：

1）GB/T18336.1-201X與GB/T18336.1-2008的主要差異如下：

1、GB/T18336.1-201X增加了“2規(guī)范性引用文件”；

2、GB/T18336.1-201X“3術語和定義”中增加了“3.2與ADV類相關的術語和定

義”、“3.3與AGD類相關的術語和定義”、“3.4與ALC類相關的術語和定義”、

“3.5與AVA類相關的術語和定義”、“3.6與ACO類相關的術語和定義”；

3、GB/T18336.1-201X“5概述”中增加了“5.1TOE”；

4、GB/T18336.1-201X中將本標準適用的“IT產(chǎn)品和系統(tǒng)”改為“IT產(chǎn)品”；

5、GB/T18336.1-2008中的“5.1安全相關要素”、“5.2GB/T18336方法”調(diào)整

為本部分的“6.2資產(chǎn)和對策”、“6.3評估”；

6、刪除了GB/T18336.1-2008的“5.3安全概念”；

7、GB/T18336.1-2008中的“5.4.1安全要求的表達”調(diào)整為本部分的“7剪裁安

全要求”；

8、刪除了GB/T18336.1-2008的“5.4.2評估類型”；

9、GB/T18336.1-201X增加了“8保護輪廓和包”；

7

10、GB/T18336.1-2008中的“6GB/T18336要求和評估結(jié)果”調(diào)整為本部分的

“9評估結(jié)果”；

11、GB/T18336.1-2008中的“附錄A保護輪廓規(guī)范”調(diào)整為本部分的“附錄B

保護輪廓規(guī)范”，并增加了“B.11低保障的保護輪廓”、“B.12在PP中引用

其他標準”；

12、GB/T18336.1-2008中的“附錄B安全目標規(guī)范”調(diào)整為本部分的“附錄A

安全目標規(guī)范”，并增加了“A.3使用ST”、“A.11ST可解答的問題”、“A.12

低保障安全目標”、“A.13在ST中引用其他標準”；

13、GB/T18336.1-2008的參考文獻調(diào)整為本部分的“附錄E參考書目”。

2）GB/T18336.2-201X與GB/T18336.2-2008的主要差異如下：

1、GB/T18336.2-201X中將“保證”（assurance）改為“保障”；

2、GB/T18336.2-201X中將“輸出到TSF控制之外（FDP_ETC）”改為“從TOE輸

出（FDP_ETC）”；

3、GB/T18336.2-201X中將“從TSF控制之外輸入（FDP_ITC）”改為“從TOE之

外輸入（FDP_ITC）”；

4、刪除了GB/T18336.2-2008“FPT類：TSF保護”中的“底層抽象機測試（FPT_AMT）”、

“引用仲裁（FPT_RVM）”、“域分離（FPT_SEP）”；

5、GB/T18336.2-201X“FPT類：TSF保護”中增加了“外部實體測試（FPT_TEE）”；

6、GB/T18336.2-201X中將“會話鎖定（FTA_SSL）”改為“會話鎖定和終止

（FTA_SSL）”；

7、GB/T18336.2-201X中將“門限值”改為“臨界值”；

8、GB/T18336.2-201X中將“介導”改為“促成”。

3）GB/T18336.3-201X與GB/T18336.3-2008的主要差異如下：

1、GB/T18336.3-201X中將“保證”（assurance）改為“保障”；

2、GB/T18336.3-201X中將“6安全保證要求”改為“6安全保障組件”；

3、刪除了GB/T18336.3-2008中的“6.3保護輪廓和安全目標評估準則類結(jié)構(gòu)”、

“6.4本部分中術語的用法”、“6.5保證分類”、“6.6保證類和族概況”；

4、GB/T18336.3-2008中的“6.1.5EAL結(jié)構(gòu)”調(diào)整為本部分的“6.2評估保障級

結(jié)構(gòu)”；

5、GB/T18336.3-201X增加了“6.3組合保障包結(jié)構(gòu)”；

6、刪除了GB/T18336.3-2008中的“7保護輪廓與安全目標評估準則”、“11保

證類、族和組件”；

7、GB/T18336.3-201X增加了“8組合保障包”；

8、刪除了GB/T18336.3-2008中的“8.1TOE描述”；

9、GB/T18336.3-201X增加了“9.2一致性聲明”；

10、GB/T18336.3-2008中的“8.2安全環(huán)境”、“8.6明確陳述的IT安全要

求”改為本部分的“9.3安全問題定義”、“9.5擴展組件定義”；

7

11、刪除了GB/T18336.3-2008中的“9.1TOE描述”、“9.5PP聲明”；

12、GB/T18336.3-201X增加了“10.2一致性聲明”；

13、GB/T18336.3-2008中的“9.2安全環(huán)境”、“9.7明確陳述的IT安全要

求”改為本部分的“10.3安全問題定義”、“10.5擴展組件定義”；

14、刪除了GB/T18336.3-2008“ADV類：開發(fā)”中的“高層設計（ADV_HLD）”、

“低層設計(ADV_LLD)”、“表示對應性(ADV_RCR)”；

15、GB/T18336.3-201X“ADV類：開發(fā)”中增加了“安全架構(gòu)（ADV_ARC）”、

“TOE設計（ADV_TDS）”；

16、GB/T18336.3-2008中AGD類的“管理員指南(AGD_ADM)”和“用戶指南

(AGD_USR)”調(diào)整為本部分的“操作用戶指南（AGD_OPE）”和“準備程序

（AGD_PRE）”；

17、GB/T18336.3-2008中將ACM類的“CM能力(ACM_CAP)”、“CM范圍

(ACM_SCP)”，ADO類的“交付(ADO_DEL)”合到了ALC類中；

18、刪除了GB/T18336.3-2008“ACM類：配置管理”中的“CM自動化（ACM_AUT）”；

19、刪除了GB/T18336.3-2008“ADO類：交付和運行”中的“安裝、生成和啟

動(ADO_IGS)”；

20、GB/T18336.3-2008中將“測試覆蓋(ATE_COV)”改為“覆蓋（ATE_COV）”，

將“測試深度(ATE_DPT)”改為“深度（ATE_DPT）”；

21、刪除了GB/T18336.3-2008“AVA類：脆弱性評定”中的“隱蔽信道分析

(AVA_CCA)”、“誤用(AVA_MSU)”、“TOE安全功能強度(AVASOF)”；

22、GB/T18336.3-2008中將“脆弱性分析(AVA_VLA)”改為“脆弱性分析

（AVA_VAN）”；

23、GB/T18336.3-201X增加了“16ACO類：組合”；

24、GB/T