GBT1833632001信息技术安全技术信息技术安全性评估准则第3部分安全保证要求

中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分安全保证要求发布实施国家质量技术监督局发布前言本标准等同采用国际标准信息技术安全技术信息技术安全性评估准则第部分安全保证要求本标准介绍了信息技术安全性评估的安全保证要求在总标题信息技术安全技术信息技术安全性评估准则下由以下个部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求本标准的附录和附录是提示的附录本标准由国家质量技术监督局提出本标准由全国信息技术标准化技术委员会归口本标准由中国国家信息安全测评认证中心信息产业部电子第研究所国家信息中心复旦大学负责起草本标准主要起草人吴世忠吴承荣龚奇敏陈晓桦李守鹏方关宝吴亚飞雷利民叶红李鹤田黄元飞任卫红本标准委托中国国家信息安全测评认证中心负责解释前言国际标准化组织和国际电工委员会形成了全世界标准化的专门体系作为或成员的国家机构通过相应组织所建立的涉及技术活动特定领域的委员会参加国际标准的制定和技术委员会在共同关心的领域里合作其他与和联盟的政府的和非政府的国际组织也参加了该项工作国际标准的起草符合导则第部分的原则在信息技术领域和已经建立了一个联合技术委员会联合技术委员会采纳的国际标准草案交付给国家机构投票表决作为国际标准公开发表需要至少的国家机构投赞成票国际标准是由联合技术委员会信息技术与通用准则项目发起组织合作产生的与同样的文本由通用准则项目发起组织作为信息技术安全性评估通用准则发表有关通用准则项目的更多信息和发起组织的联系信息由的附录提供在信息技术安全技术信息技术安全性评估准则的总标题下由以下几部分组成第部分简介和一般模型第部分安全功能要求第部分安全保证要求附录和附录构成本部分的提示部分以下具有法律效力的提示已按要求放置在的所有部分在附录中标明的七个政府组织总称为通用准则发起组织作为信息技术安全性评估通用准则第至第部分称为版权的共同所有者在此特许在开发国际标准中非排他性地使用但是通用准则发起组织在他们认为适当时保留对的使用拷贝分发以及修改的权利中华人民共和国国家标准信息技术安全技术信息技术安全性评估准则第部分安全保证要求国家质量技术监督局批准实施范围本标准定义了保证要求它包括衡量保证尺度的评估保证级组成保证级的每个保证组件以及和的评估准则本标准的结构第章是本标准的引论和范例第章描述了保证类子类组件和评估保证级的表示结构以及它们之间的关系同时还刻画了第章到第章可找到的保证类和子类的特征第章第章和第章先对和的评估准则作简要的介绍然后对在评估中要用到的子类与组件做了详尽的解释第章是评估保证级的详尽定义第章对保证类作了简要的介绍在随后的第章到第章给出了这些类的详尽定义第和第章对保证维护的评估准则做了简要的介绍其后给出了所用到的子类和组件的详尽定义附录给出了保证组件之间依赖关系的概要附录给出了评估保证级和保证组件之间的交叉引用的保证范例本条旨在阐述支撑本标准保证方法的基本原则通过对本条的理解将使读者了解隐含在本标准保证要求中的基本原理基本原则的基本原则就是应该清楚描述那些对安全和组织安全策略承诺所造成的威胁并且提出足以达到所期望的安全目的的安全措施进一步地说就是应采取一些措施以减少可能存在的脆弱性减弱有意利用或者无意触发或利用一个脆弱性的能力以及减轻因利用一个脆弱性而导致的破坏程度另外还需要采纳一定的措施便于今后标识一些脆弱性消除减轻或通告一个已经被利用或触发过的脆弱性保证方法的基本原则是为被信任的产品或系统的评估积极的调查提供保证评估是提供保证的传统方法并且是文档的基础为了与现行的方法保持一致采用相同的基本原则建议由专业评估员在不断强调范围深度和严格性的基础上衡量文档和已完成的产品或系统的有效性不排斥也不评论用其他方法的获得保证的有关优点有关获得安全保证的其他方法还在研究当中一旦成熟的可选择的方法产生可以考虑把它们吸收到中因为的结构允许将来引入更新的内容脆弱性的意义假定存在积极寻求违反安全策略的可乘之机的威胁者他们无论是为了非法获利还是出于别的意图其行为都是不安全的威胁者也可能偶然触发了脆弱性造成对系统的损害由于处理敏感信息的需求与可用的足够可信产品或者系统缺乏之间的矛盾一旦失效将会导致很大的风险因此破坏安全可能造成重大的损失破坏安全的事件主要发生于应用处理业务过程中脆弱性被有意利用或无意地触发应该采取一定的措施防止在产品和系统中出现脆弱性在可行的情况下脆弱性应该被消除即应该采取积极的措施来发现除去或者消灭所有可利用的脆弱性最小化即应该采取积极的措施减少任何可利用脆弱性的潜在影响使残留的脆弱性达到一个可接受的程度监视即应该采取积极的措施确保发现任何利用残余脆弱性的企图以便采取及时限制破坏的措施脆弱性产生的原因以下的失败可导致脆弱性要求即产品或者系统具有所有必要的功能和特性但仍然可能包含着脆弱性使得产品或系统在安全方面不合适或者无效构造即产品或系统不符合设计规范或者由于低劣的构造标准或选择了不正确的系统设计而导致了脆弱性运行即产品或者系统被正确构造且符合正确的规范但是在其运行中由于不适当的控制而导致了脆弱性本标准的保证保证是产品或系统符合其安全目的的信任基础保证可从诸如未证实的声明有关的先期经验或者特定经验等作参考的原始资料获得然而本标准通过积极的调查来提供保证积极的调查就是对产品或者系统进行评估以确定其安全特性通过评估获得保证评估是获取保证的传统手段并且是方法的基础评估技术包括但不限于以下这些分析并检查过程和步骤检查过程和步骤是否被使用分析评估对象设计表述之间的一致性针对要求分析评估对象的设计表述验证证据分析指导性文档分析所开发的功能测试和所提供的结果独立的功能测试分析脆弱性包括缺陷假设穿透性测试评估保证尺度的基本原则确信更好的保证源于更大的评估努力而目标却是运用最小的努力来获得必要的保证级努力程度的增加基于范围即指因为包含更多的产品或者系统所以需要更大的努力深度即指因为要在更好的设计和实施细节这一层次上展开所以需要更大的努力严格性即指因为要以更结构化更形式化的方式应用所以需要更大的努力引用标准下列标准所包括的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息技术安全技术信息技术安全性评估准则第部分简介和一般模型安全保证要求结构以下的章条描述了保证类子类组件和评估保证级的结构以及它们之间的关系图说明了本标准定义的保证要求注意到保证要求中最抽象的集合称作一个类每一个类包含多个保证子类每一个子类又包含多个保证组件每一个组件同样又包含多个保证元素类和子类提供对保证要求进行分类的分类法而组件用来指明和中的保证要求类结构保证类的结构如图所示类名每一个保证类被指定一个唯一的名字名字表明保证类涵盖的主题保证类名也具有唯一的简洁形式这是引用保证类的主要的方法按惯例采取后跟两个与类名有关的字母类介绍每一个保证类有一段介绍描述类的组成并且包含了涉及该类意图的支持性文字保证子类每一个保证类包含至少一个保证子类保证子类的结构将在下面的章条中介绍保证族结构保证族的结构如图所示子类名每一个保证子类指定一个唯一的名字该名字描述了与保证子类涵盖的主题相关的信息每一个保证子类被置于一个保证类之内这个保证类也包括具有相同意图的其他保证子类保证子类名也有一个唯一的简洁形式这是引用保证子类的主要方法按惯例其表示方法是所在类名的缩写加下划线然后再加上与子类名有关的三个字母目的保证子类的目的部分说明保证子类的意图这部分描述了该保证子类所要表明的目的特别是那些与保证范例有关的目的这个保证子类的描述是一般的描述目的所要求的任何特定细节都应包含在该保证组件中组件分级每一个保证子类包含一个或多个保证组件保证子类的这一部分主要描述可供使用的组件并且解释它们之间的差异一旦确定该保证子类对保证要求而言是必需或是有用的部分就要区分这些保证组件这是组件分级的主要目的含有超过一个组件的保证子类将被分级并说明分级的理由分级将依据范围深度或者严格性的原则进行应用注释如果有应用注释部分的话它将提供这个保证子类的附加信息而这些信息应该是保证子类用户例如和的作者的设计者评估者等等特别感兴趣的它的表示是非形式化的并且包括限制使用的警告和特别要注意的地方保证组件每一个保证子类至少有一个保证组件保证组件的结构将在下一条描述图保证类子类组件元素的层次保证组件结构保证组件的结构如图所示图保证组件结构保证子类内组件之间的关系用粗体突出表示那些新的要求连同对同一级内前面组件的增强或修改部分也用粗体突出表示对于依赖关系也同样用粗体突出表示组件标识组件标识部分给出一些描述信息这些信息对标识分类登记和引用一个组件是必须的每个保证组件指定唯一的一个名字该名字提供关于该保证组件所涉及主题的描述性信息每个保证组件均放置在与其共享安全目的的保证子类之内保证组件名字也给定了唯一的简洁形式这是引用保证组件的主要方法按惯例简洁形式为子类名的缩写后面加一个点然后是数字符号这个数字符号是根据组件在子类内的顺序从开始编号的目的如果保证组件有目的部分那么它包含了特定保证组件的特定目的在含有这部分信息的保证组件中该信息详尽地解释了该组件的特定意图和目的应用注释如果保证组件有应用注释部分则它包含了一些附加的信息以便于使用该组件依赖关系当一个组件无法自我满足而依赖于另一个组件时依赖关系就出现在这些保证组件中每一个保证组件都给出了一个完整的列表表明了它与其他保证组件的依赖关系一些组件可能无依赖关系这表明它没有依赖于其他组件被依赖的组件也可能依赖于其他组件依赖关系列表标识了所依赖的保证组件的最小集合在依赖关系列表中与另一组件同层次的组件也可以用来满足依赖关系在特殊情况下所表明的依赖关系可能并不适用的作者可以提供为什么给定的依赖关系不适用的理由并选择不去满足这种依赖关系保证元素每一个保证组件给出了一组保证元素一个保证元素就是一个安全要求如果进一步细分的话这个安全要求不会产生有意义的评估结果它是本标准中最小的安全要求每一个保证元素都被确定属于以下三组保证元素中的一组开发者行为元素即由开发者将实施的活动这组行为靠下一组元素中引用的证据材料来证明是否合格开发者行为要求用元素编号上附加一个字母的方法来表示证据的内容和形式元素即所要求的证据证据所显示的以及证据所表述的信息证据的内容和形式要求用元素编号上附加字母的方法来表示评估者行为元素即评估者实施的活动这组行为隐含了对在前面两组元素中规定要求的证实并且隐含了除开发者实施的活动之外还须实施的行为或分析评估者行为要求用元素号上附加字母的方法来表示开发者行为与证据内容和形式这两组元素定义了代表一个开发者职责的保证要求而该开发者的职责就是论证的安全功能保证通过满足这些要求开发者能够更加确信满足或的功能和保证要求评估者行为从评估的两个方面明确了评估者的责任一个方面是根据第章和第章中定义的和来确认另一方面是验证与其功能和保证要求的一致性通过证明是有效的并且满足这些要求评估者可以提供一个信任的基础确信这个满足其安全目的评估者行为元素结合了证据的内容和形式指明了在验证的中所作的安全声明时将要进行的评估活动保证元素每一个元素代表一个需要满足的要求描述要求的语句应当清晰简洁且无歧义因此不能出现复杂句式即每一可分离的要求将作为单独的元素来说明对于使用的术语元素采用常见辞典上的意思而不采用那些预先规定的术语的缩写形式因为那将导致隐含性要求因此元素都表述为明确的要求而不用保留术语与第部分不同之处在于在本标准中没有与元素有关的赋值和选择操作然而本标准可能根据需要进行细化操作结构图说明了在本标准中定义的所有评估保证级和相应的结构注意图中显示出保证组件的内容的同时还将通过引用中定义的实际组件来将该结构信息包含在一个评估保证级中图结构名称给每一评估保证级指定唯一的名称该名称提供关于评估保证级意图的描述性信息评估保证级名称有唯一的简洁形式这是引用评估保证级的主要方法目的评估保证级的目的部分表明了评估保证级的意图应用注释如果评估保证级有应用注释部分则它包含评估保证级的使用者如和的作者以该评估保证级为目的的评估对象的设计者评估者特