GB/T 18336.1-2008 信息技术.安全技术.信息技术安全性评估准则.第1部分:简介和一般模型

标准号：GB/T 18336.1-2008
中文标准名称：信息技术.安全技术.信息技术安全性评估准则.第1部分:简介和一般模型
英文标准名称：Information technology. Security techniques. Evaluation criteria for IT security. Part 1: Introduction and general model
标准类型：L80
发布日期：2008/6/26 12:00:00
实施日期：2008/11/1 12:00:00
中国标准分类号：L80
国际标准分类号：35.040
适用范围：GB/T 18336旨在作为评估信息技术产品和系统安全特性的基础准则。通过建立这样的通用准则库，信息技术安全行评估的结果才能被更多人理解。某些内容因涉及专业技术或仅仅是IT安全的外围技术，因此不在GB/T 18336范围之内。例如：a） GB/T 18336不包括那些与IT安全措施没有直接关联的属于行政管理安全措施的安全评估准则。但是应该认识到TOE安全的某些重要组成部分通常可通过诸如组织的、人员的、物理的、程序的控制等行政性管理措施来实现。在TOE的运行环境中，当行政管理安全措施影响到IT安全措施对抗已确定威胁的能力时，则将其作为安全使用假设；b） GB/T 18336没有明确涵盖电磁辐射控制等IT安全中技术性物理方面的评估，虽然标准中的许多概念适用于该领域。换句话说，GB/T 18336只涉及到TOE物理保护的某些方面；c） GB/T 18336并不专注于评估方法学，也不专注于评估管理机构使用本准则的管理和法律架构，但希望GB/T 18336能在具有这样的框架和方法论的环境中用于评估；d） 评估结果用于产品或系统认可的程序不属于GB/T 18336的范围。产品或系统的认证是行政性的管理过程，据此准许IT产品或系统在其整个运行环境中投入使用。评估侧重于产品或系统的IT安全部分，以及直接影响到IT单元安全使用的那些运行环境。因此，评估结果是认可过程的重要输入。但是，由于其他技术更适合于评价非IT相关系统或产品的安全特性以及其与IT安全部分的关系，认可者应针对这些情况分别制定不同的条款；e） GB/T 18336不包括评价密码算法固有质量相关的标准条款。如果需要对嵌入TOE的密码算法的数学特性进行独立评价，则必须在使用GB/T 18336 的评估体制中为相关评价制定专门条款。本标准定义了两种结构以表述IT安全功能和保证要求。其中，保护轮廓（PP）允许创建一些普通可重复使用的安全要求集合。PP可被目标客户用于规范和识别满足其需求的产品及其IT安全特性。安全目标(ST)用于阐述安全要求和详细说明被评估产品或系统的安全功能，这些产品通常称为评估对象（TOE）。ST被评估者用来作为在GB/T 18336指导下进行评估活动的技术。