信息安全技术-信息系统安全保障通用评估方法

1、信息安全技术信息系统安全保障通用评估方法Information security technologyCommon methodology for information systems security assurance evaluation目次 TOC h z t前言、引言标题,1,参考文献、索引标题,1,章标题,1,参考文献,1,附录标识,1,一级条标题, 3,二级条标题, 4 * MERGEFORMAT HYPERLINK l _Toc331152249 1范围 PAGEREF _Toc331152249 h 1 HYPERLINK l _Toc331152250 2规范性引用文件

2、PAGEREF _Toc331152250 h 1 HYPERLINK l _Toc331152251 3术语和定义 PAGEREF _Toc331152251 h 1 HYPERLINK l _Toc331152286 4符号和缩略语 PAGEREF _Toc331152286 h 3 HYPERLINK l _Toc331152287 5约定 PAGEREF _Toc331152287 h 3 HYPERLINK l _Toc331152288 5.1行文方式 PAGEREF _Toc331152288 h 4 HYPERLINK l _Toc331152289 5.2动词用法 PAGER

3、EF _Toc331152289 h 4 HYPERLINK l _Toc331152290 6概述 PAGEREF _Toc331152290 h 4 HYPERLINK l _Toc331152291 6.1GB/T20274和本标准结构之间的关系 PAGEREF _Toc331152291 h 4 HYPERLINK l _Toc331152292 6.2评估原则 PAGEREF _Toc331152292 h 4 HYPERLINK l _Toc331152293 6.2.1客观性和公正性 PAGEREF _Toc331152293 h 4 HYPERLINK l _Toc331152

4、294 6.2.2经济性和可重用性 PAGEREF _Toc331152294 h 4 HYPERLINK l _Toc331152295 6.2.3可重复性和可再现性 PAGEREF _Toc331152295 h 4 HYPERLINK l _Toc331152296 6.2.4结果准确性 PAGEREF _Toc331152296 h 4 HYPERLINK l _Toc331152297 6.3评估裁决 PAGEREF _Toc331152297 h 5 HYPERLINK l _Toc331152298 7通用评估模型 PAGEREF _Toc331152298 h 5 HYPERL

5、INK l _Toc331152299 7.1引言 PAGEREF _Toc331152299 h 5 HYPERLINK l _Toc331152300 7.2评估工作概述 PAGEREF _Toc331152300 h 6 HYPERLINK l _Toc331152301 7.3评估输入任务 PAGEREF _Toc331152301 h 6 HYPERLINK l _Toc331152302 7.3.1目的 PAGEREF _Toc331152302 h 6 HYPERLINK l _Toc331152303 7.3.2评估证据的管理 PAGEREF _Toc331152303 h 6

6、 HYPERLINK l _Toc331152304 7.4评估活动 PAGEREF _Toc331152304 h 7 HYPERLINK l _Toc331152305 7.5评估输出任务 PAGEREF _Toc331152305 h 7 HYPERLINK l _Toc331152306 7.5.1目的 PAGEREF _Toc331152306 h 7 HYPERLINK l _Toc331152307 7.5.2编写测试/核查报告 PAGEREF _Toc331152307 h 7 HYPERLINK l _Toc331152308 7.5.3编写评估报告 PAGEREF _Toc

7、331152308 h 7 HYPERLINK l _Toc331152309 8信息系统保护轮廓评估 PAGEREF _Toc331152309 h 10 HYPERLINK l _Toc331152310 8.1引言 PAGEREF _Toc331152310 h 11 HYPERLINK l _Toc331152311 8.2目的 PAGEREF _Toc331152311 h 11 HYPERLINK l _Toc331152312 8.3信息系统保护轮廓评估相关要求 PAGEREF _Toc331152312 h 11 HYPERLINK l _Toc331152313 8.4信息系

8、统保护轮廓评估活动 PAGEREF _Toc331152313 h 11 HYPERLINK l _Toc331152314 8.4.1信息系统保护轮廓引言的评估 PAGEREF _Toc331152314 h 11 HYPERLINK l _Toc331152315 8.4.2信息系统描述的评估 PAGEREF _Toc331152315 h 12 HYPERLINK l _Toc331152316 8.4.3安全环境的评估 PAGEREF _Toc331152316 h 13 HYPERLINK l _Toc331152317 8.4.4安全保障目的的评估 PAGEREF _Toc3311

9、52317 h 15 HYPERLINK l _Toc331152318 8.4.5安全保障要求的评估 PAGEREF _Toc331152318 h 15 HYPERLINK l _Toc331152319 8.4.6符合性声明的评估 PAGEREF _Toc331152319 h 18 HYPERLINK l _Toc331152320 9信息系统安全目标评估 PAGEREF _Toc331152320 h 20 HYPERLINK l _Toc331152321 9.1引言 PAGEREF _Toc331152321 h 20 HYPERLINK l _Toc331152322 9.2目

10、的 PAGEREF _Toc331152322 h 20 HYPERLINK l _Toc331152323 9.3信息系统安全目标评估相关要求 PAGEREF _Toc331152323 h 21 HYPERLINK l _Toc331152324 9.4信息系统安全目标评估活动 PAGEREF _Toc331152324 h 21 HYPERLINK l _Toc331152325 9.4.1信息系统安全目标引言的评估 PAGEREF _Toc331152325 h 21 HYPERLINK l _Toc331152326 9.4.2信息系统描述的评估 PAGEREF _Toc331152

11、326 h 22 HYPERLINK l _Toc331152327 9.4.3安全环境的评估 PAGEREF _Toc331152327 h 24 HYPERLINK l _Toc331152328 9.4.4安全保障目的的评估 PAGEREF _Toc331152328 h 25 HYPERLINK l _Toc331152329 9.4.5安全保障要求的评估 PAGEREF _Toc331152329 h 26 HYPERLINK l _Toc331152330 9.4.6TOE概要规范的评估 PAGEREF _Toc331152330 h 28 HYPERLINK l _Toc3311

12、52331 9.4.7ISPP声明的评估 PAGEREF _Toc331152331 h 30 HYPERLINK l _Toc331152332 9.4.8符合性声明的评估 PAGEREF _Toc331152332 h 30 HYPERLINK l _Toc331152333 10信息系统安全保障措施评估 PAGEREF _Toc331152333 h 34 HYPERLINK l _Toc331152334 10.1信息系统安全技术保障措施评估 PAGEREF _Toc331152334 h 34 HYPERLINK l _Toc331152335 10.1.1引言 PAGEREF _T

13、oc331152335 h 34 HYPERLINK l _Toc331152336 10.1.2目的 PAGEREF _Toc331152336 h 34 HYPERLINK l _Toc331152337 10.1.3安全审计 PAGEREF _Toc331152337 h 34 HYPERLINK l _Toc331152338 10.1.4通信 PAGEREF _Toc331152338 h 38 HYPERLINK l _Toc331152339 10.1.5密码支持 PAGEREF _Toc331152339 h 40 HYPERLINK l _Toc331152340 10.1.

14、6用户数据保护 PAGEREF _Toc331152340 h 41 HYPERLINK l _Toc331152341 10.1.7标识和鉴别 PAGEREF _Toc331152341 h 50 HYPERLINK l _Toc331152342 10.1.8安全管理 PAGEREF _Toc331152342 h 54 HYPERLINK l _Toc331152343 10.1.9隐私 PAGEREF _Toc331152343 h 58 HYPERLINK l _Toc331152344 10.1.10TSF保护 PAGEREF _Toc331152344 h 61 HYPERLIN

15、K l _Toc331152345 10.1.11资源利用 PAGEREF _Toc331152345 h 70 HYPERLINK l _Toc331152346 10.1.12TOE访问 PAGEREF _Toc331152346 h 72 HYPERLINK l _Toc331152347 10.1.13可信路径/信道 PAGEREF _Toc331152347 h 75 HYPERLINK l _Toc331152348 10.2信息系统安全管理保障措施评估 PAGEREF _Toc331152348 h 76 HYPERLINK l _Toc331152349 10.2.1引言 PA

16、GEREF _Toc331152349 h 76 HYPERLINK l _Toc331152350 10.2.2目的 PAGEREF _Toc331152350 h 77 HYPERLINK l _Toc331152351 10.2.3风险管理评估活动 PAGEREF _Toc331152351 h 77 HYPERLINK l _Toc331152352 10.2.4信息安全策略评估活动 PAGEREF _Toc331152352 h 79 HYPERLINK l _Toc331152353 10.2.5信息安全组织机构评估活动 PAGEREF _Toc331152353 h 80 HYP

17、ERLINK l _Toc331152354 10.2.6人员安全评估活动 PAGEREF _Toc331152354 h 83 HYPERLINK l _Toc331152355 10.2.7资产管理评估活动 PAGEREF _Toc331152355 h 86 HYPERLINK l _Toc331152356 10.2.8物理和环境安全评估活动 PAGEREF _Toc331152356 h 88 HYPERLINK l _Toc331152357 10.2.9符合性管理评估活动 PAGEREF _Toc331152357 h 92 HYPERLINK l _Toc331152358 1

18、0.2.10信息安全规划管理评估活动 PAGEREF _Toc331152358 h 95 HYPERLINK l _Toc331152359 10.2.11系统开发管理评估活动 PAGEREF _Toc331152359 h 96 HYPERLINK l _Toc331152360 10.2.12运行管理评估活动 PAGEREF _Toc331152360 h 99 HYPERLINK l _Toc331152361 10.2.13业务持续性和灾难恢复管理评估活动 PAGEREF _Toc331152361 h 109 HYPERLINK l _Toc331152362 10.2.14应急响

19、应管理评估活动 PAGEREF _Toc331152362 h 112 HYPERLINK l _Toc331152363 10.3信息系统安全工程保障措施评估 PAGEREF _Toc331152363 h 114 HYPERLINK l _Toc331152364 10.3.1引言 PAGEREF _Toc331152364 h 114 HYPERLINK l _Toc331152365 10.3.2目的 PAGEREF _Toc331152365 h 114 HYPERLINK l _Toc331152366 10.3.3风险过程评估活动 PAGEREF _Toc331152366 h

20、114 HYPERLINK l _Toc331152367 10.3.4工程过程评估活动 PAGEREF _Toc331152367 h 119 HYPERLINK l _Toc331152368 10.3.5保障过程评估活动 PAGEREF _Toc331152368 h 126 HYPERLINK l _Toc331152369 11信息系统保障级评估 PAGEREF _Toc331152369 h 127 HYPERLINK l _Toc331152370 11.1引言 PAGEREF _Toc331152370 h 127 HYPERLINK l _Toc331152371 11.2目

21、的 PAGEREF _Toc331152371 h 128 HYPERLINK l _Toc331152372 11.3相互关系 PAGEREF _Toc331152372 h 128 HYPERLINK l _Toc331152373 11.4ISAL1（基本执行）评估活动 PAGEREF _Toc331152373 h 128 HYPERLINK l _Toc331152374 11.4.1目的 PAGEREF _Toc331152374 h 128 HYPERLINK l _Toc331152375 11.4.2执行过程 PAGEREF _Toc331152375 h 128 HYPER

22、LINK l _Toc331152376 11.5ISAL2（计划和跟踪级）评估活动 PAGEREF _Toc331152376 h 128 HYPERLINK l _Toc331152377 11.5.1目的 PAGEREF _Toc331152377 h 128 HYPERLINK l _Toc331152378 11.5.2计划执行 PAGEREF _Toc331152378 h 128 HYPERLINK l _Toc331152379 11.5.3规范化执行 PAGEREF _Toc331152379 h 129 HYPERLINK l _Toc331152380 11.5.4验证执

23、行 PAGEREF _Toc331152380 h 130 HYPERLINK l _Toc331152381 11.5.5跟踪执行 PAGEREF _Toc331152381 h 130 HYPERLINK l _Toc331152382 11.6ISAL3（充分定义级）评估活动 PAGEREF _Toc331152382 h 131 HYPERLINK l _Toc331152383 11.6.1目的 PAGEREF _Toc331152383 h 131 HYPERLINK l _Toc331152384 11.6.2定义标准过程 PAGEREF _Toc331152384 h 131

24、HYPERLINK l _Toc331152385 11.6.3执行标准过程 PAGEREF _Toc331152385 h 132 HYPERLINK l _Toc331152386 11.7ISAL4（量化控制级）评估活动 PAGEREF _Toc331152386 h 132 HYPERLINK l _Toc331152387 11.7.1目的 PAGEREF _Toc331152387 h 132 HYPERLINK l _Toc331152388 11.7.2建立可度量的质量目标 PAGEREF _Toc331152388 h 133 HYPERLINK l _Toc33115238

25、9 11.7.3客观的管理执行 PAGEREF _Toc331152389 h 133 HYPERLINK l _Toc331152390 11.8ISAL5（持续改进级）评估活动 PAGEREF _Toc331152390 h 133 HYPERLINK l _Toc331152391 11.8.1目的 PAGEREF _Toc331152391 h 134 HYPERLINK l _Toc331152392 11.8.2改进组织能力 PAGEREF _Toc331152392 h 134 HYPERLINK l _Toc331152393 11.8.3改进过程有效性 PAGEREF _To

26、c331152393 h 134 HYPERLINK l _Toc331152394 附录A（规范性附录）通用评估指南 PAGEREF _Toc331152394 h 136 HYPERLINK l _Toc331152395 参考文献 PAGEREF _Toc331152395 h 137引言本标准是GB/T 20274 信息安全技术 信息系统安全保障评估框架的配套指南文件。本标准描述了评估人员在使用GB/T 20274所定义的准则进行评估时需要完成的评估活动，为评估人员在具体评估活动中的评估行为和活动提供指南。本标准的目标读者主要是采用GB/T 20274对信息系统进行安全性评估的评估者以

27、及评估申请者、开发者、ISPP/ISST作者和其它对信息系统安全感兴趣的团体。本标准分为以下几个章节：第章，介绍本标准的范围，说明本标准的编制目的、目标读者和适用范围等内容。第2至5章，分别说明本标准的规范性引用文件、术语和定义、符号和缩略语以及文档约定。第6章至第11章是本标准的核心部分，其内容是按照评估人员在信息系统安全保障评估过程中所要求执行的评估行为和活动来组织的。第6章，概述部分介绍本标准的文档结构、本标准与GB/T 20274之间的对应关系、信息系统安全保障评估应具备的原则以及评估者的裁决方式。第7章，通用评估模型，描述执行一个评估的工作概况，包括评估输入任务、评估活动和评估输出任

28、务3部分内容。第8章，ISPP评估，详细描述了对ISPP进行评估所包含的活动，包括ISPP引言评估、信息系统描述的评估、安全环境的评估、安全保障目的评估、安全保障要求评估和符合性声明评估。第9章，ISST评估，详细描述了对ISST进行评估所包含的活动，包括ISST引言评估、信息系统描述的评估、安全环境的评估、安全保障目的评估以及安全保障要求评估、TOE概要规范评估、ISPP声明评估和符合性声明评估。第10章，信息系统安全保障措施评估，分别从安全技术、安全管理、安全工程3个方面描述对信息系统安全保障控制措施的评估方法。第11章，信息系统保障级评估，分别描述了ISAL1到ISAL5这5个保障级的评

29、估方法。附录A包含了一致性分析材料和现场核查。信息安全技术信息系统安全保障通用评估方法范围本标准规定了利用GB/T 20274所定义的规范进行信息系统安全评估时，评估人员应执行的基本评估行为集合。本标准的目标读者主要是应用GB/T 20274和ISPP/ISST进行信息系统安全评估的评估者、评估申请者,信息系统开发者、ISPP/ISST编制者。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第1部

30、分：简介和一般模型GB/T 20274.2-2008 信息安全技术 信息系统安全保障评估框架 第2部分：技术保障GB/T 20274.3-2008 信息安全技术 信息系统安全保障评估框架 第3部分：管理保障GB/T 20274.4-2008 信息安全技术 信息系统安全保障评估框架 第4部分：工程保障术语和定义本部分的术语只包括标准中以特殊含义使用的术语。评估行为 evalution action与GB/T 20274.2-2008、GB/T 20274.3-2008和GB/T 20274.4-2008中保障子类相对应，并根据保障子类中的要求定义相应的评估行为要求。活动 activity与GB/

31、T 20274.2-2008、GB/T 20274.3-2008和GB/T 20274.4-2008中保障类相对应，并根据保障类中的要求定义相应的评估活动要求。核查 check评估者采用简单比较形成一个裁决。使用此动词的语句描述了需要核查的内容。评估交付件 evalution deliverable评估者为执行一个或多个评估活动所必需的，来自申请者或开发者的任何资源。评估证据 evaluation evidence有形的评估交付件。评估报告 evaluation technical report由评估者编写的以文档形式记录总体裁决及其理由的报告。检查 examination评估者采用专业技能分

32、析形成一个裁决。使用此动词的语句表明哪些是需要分析的以及什么样的性质需要分析。解释 interpretation对标准内容的一种澄清或详述。方法论 methodology用于安全评估的原则、程序和过程。总体裁决 overall verdict评估者关于评估结果是通过还是不通过的决定。记录 record足够详细地记载程序、事件、观察结果、所了解事项和结果的一个书面描述，以使得评估过程中执行的工作能够在以后重建。报告 reporting将评估结果和支持性材料编写到评估报告或测试/核查报告中。体制 scheme由评估机构制定的执行评估行为的一套准则、规范和方法。测试 testing通过对评估对象按照

33、预定的方法/工具使其产生特定的行为，获取证据以证明被测对象安全保障措施是否有效的一种方法。评估对象 TOE本标准中的评估对象指信息系统，是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员等的总和。裁决 verdict评估者发布一个关于工作单元、评估行为或评估活动是通过，不通过，还是待定的决定。工作单元 work unit评估工作的最基本行为，与GB/T 20274.2-2008、GB/T 20274.3-2008和GB/T 20274.4-2008保障组件有关。每个评估行为由一个或多个工作单元组成，这些工作单元又按保障组件进行分组。符号和缩略语以下缩略语在本标准中通用：

34、ISAL信息系统保障级Information System Assurance LevelIT信息技术Information TechnologyISPP信息系统保护轮廓Information System Protection ProfileSF安全功能Security FunctionSFP安全功能策略Security Function PolicySOF功能强度Strength of FunctionISST信息系统安全目标Information System Security TargetTOE评估对象Target of EvaluationTSCTSF控制范围TSF Scope of

35、 ControlTSFTOE安全功能TOE Security FunctionsTSPTOE安全策略TOE Security Policy约定行文方式对于GB/T 20274中的每个组件，本标准引入了工作单元，工作单元标识符由工作单元序号和相应的组件的标识符组成。例如，工作单元1：FAU_ARP.1表明该工作单元为评估者在相关评估行为中的第一个工作单元，对应的GB/T 20274中组件标识符为FAU_ARP.1。动词用法在所有工作单元和任务动词前都加有“应（该）”，且动词和“应（该）”均以粗斜体表示。只有在这些工作单元和任务中才能使用助动词“应（该）”，这些工作单元和任务中包含评估者为做出裁定

36、必须执行的强制活动。动词核查、检查、报告、记录、测试在本标准中有特殊含义，它们的定义应参照术语表。概述GB/T 20274和本标准结构之间的关系GB/T 20274结构和本标准结构之间有直接的关系，图1表明GB/T 20274类、子类、组件的结构与本标准活动、评估行为和工作单元之间的对应关系。图1 GB/T 20274和本标准结构之间的对应关系评估原则客观性和公正性虽然评估工作不能完全摆脱个人主张或判断，但评估人员不应当具有偏见，把任何偏见减少到最小主观判断的水平，按照评估双方相互认可的评估体制，基于明确定义的评估方式和解释，实施评估活动。经济性和可重用性出于评估成本和工作复杂性的考虑，鼓励评

37、估工作重用以前的评估结果。所有重用的结果，都应基于结果适用于目前的系统并且能够反映出目前系统的安全状态基础之上。可重复性和可再现性不论谁执行评估，依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。结果准确性评估所产生的结果应当证明是良好的判断和对评估活动的正确理解。评估过程和结果应当服从正确的评估方法以确保其满足了评估活动的要求。评估裁决评估者根据GB/T 20274以及依据其产生的ISPP和ISST的要求而不是本标准的要求给予裁决，给予裁决的最小结构是组

38、件。作为执行相应评估行为及其组成工作单元的结果，每个适用的GB/T 20274组件都会被赋予一个裁决。在规范的评估中，本标准认可三种裁决结果：裁决结果为“通过”，如果评估者完成了本标准评估工作单元并确定关于经受评估的ISPP、ISST或TOE的要求都已满足；裁决结果为“待定”，如果评估者未完成本标准评估工作单元；裁决结果为“不通过”，如果评估者完成了本标准评估工作单元并确定关于经受评估的ISPP、ISST或TOE的要求未满足。当且仅当所有工作单元裁决都为“通过”，总体裁决才为“通过”。在图2所示的示例中，如果一个评估工作单元的裁决为“不通过”，则相应评估行为、评估活动的裁决和最终裁决都为“不通

39、过”。评估结果评估活动评估行为工作单元工作单元工作单元不通过不通过待定通过 图2 裁决规则示例通用评估模型引言所有的评估活动，包括ISPP评估、ISST评估和TOE评估，都有输入任务和输出任务，它们与评估证据的管理和评估报告的生成有关。同时，每项任务又关系到一些评估活动，这些评估活动是标准化的，应用于ISPP评估、ISST评估和TOE评估。本标准将描述ISPP评估、ISST评估和TOE评估三种类型及评估活动。评估工作概述一般地，一个评估工作应包括：评估输入任务、评估活动和评估输出任务3个部分内容，如图3所示。评估输入任务是评估人员在接收到评估证据之后，进行的评估证据管理。评估证据可以随着评估类

40、型的不同而变化。评估活动包括ISPP评估、ISST评估和TOE评估三种类型。评估输出任务产生评估结果，评估结果可以是评估报告或测试/核查报告。评估输出任务评估活动评估输入任务评估证据评估报告图3 通用评估模型评估输入任务目的本节的目的是确保评估者有正确版本的评估证据，并且证据得到了充分地保护。否则，就不能保证评估的准确性，也不能保证评估结果是可重复和可再现的。评估证据的管理配置控制评估者应执行评估证据的配置控制。在收到每项评估证据后，能够对其进行标识和定位，并且能够确定评估者是否拥有文档的特定版本。当评估者持有评估证据时，评估者应保护评估证据，防止证据被变更或丢失。证据处置在完成总体裁决后，对

41、评估证据的处置应当用以下一个或几个方法来进行：归还评估证据；存档评估证据；销毁评估证据。保密性在评估过程中，评估者可能接触到申请者和开发者的一些商业性敏感信息（例如TOE设计信息、专门工具），还可能接触到一些政府敏感信息。评估者应维护评估证据的保密性。申请者和评估者可以互相协商一些附加要求（例如保密协议），只要这些要求和该评估体制协调一致。保密性要求可能会影响评估工作的许多方面，包括对评估证据的接收、处理、存储和处置。评估活动评估活动是评估者根据评估证据判断信息系统是否满足信息系统安全保障措施要求和安全保障级要求的一系列活动。本标准的第8章介绍了执行ISPP评估必需的评估活动；第9章介绍了了执

42、行ISST评估必需的评估活动；第10章介绍了对安全保障措施评估所需的评估活动；第11章介绍了评估ISAL1至ISAL5所需的评估活动。评估输出任务目的评估者应执行以下两个任务：编写测试/核查报告（根据评估工作需要）；编写评估报告。评估活动可能还需要额外的评估报告。本标准只规定了报告所需最少的内容，并不排除在这些报告中加入其它附加信息。编写测试/核查报告测试/核查报告为评估者提供证据，用来澄清或识别评估中的某些问题。测试/核查报告应包含以下信息：被评估的ISPP/ISST或TOE的标识；在哪一个评估任务/活动期间产生了测试/核查项；测试/核查的方法与内容；问题严重程度估计；整改建议。测试/核查报

43、告的预期读者和处理报告的程序取决于报告内容的性质和评估体制。评估体制可根据所要求的信息和分发的不同，区分测试/核查报告的不同类型，或者定义附加类型。编写评估报告目的评估者应该提供评估报告，用来描述总体裁决的依据。本标准定义了评估报告的最少内容要求，但评估体制可以提出附加的内容、特定的陈述和结构要求。例如，可以要求评估报告中包含某些介绍性材料（例如免责声明和版权声明条款）。ISPP/ISST评估报告本节描述ISPP/ISST评估报告所需要的最少内容，ISPP/ISST评估报告的内容如图4所示；在构建评估报告文档的结构大纲时，该图可以用作指南。图4 ISPP/ISST评估报告信息内容引言评估者应报

44、告评估体制的标识符。评估体制标识符（例如标志）是明确地标识负责评估机构的信息。评估者应报告评估报告的配置控制标识符。评估报告的配置控制标识符包含标识评估报告的信息（例如名称、日期、版本号）。评估者应报告ISPP/ISST配置控制标识符（例如名称、日期、版本号），以标识出哪一个ISPP/ISST正在被评估。评估者应报告开发者的身份，以标识出谁负责产生该ISPP/ISST。评估者应报告申请者的身份，以标识出谁负责向评估者提供评估证据。评估者应报告评估者的身份，以标识出谁执行评估并且对评估裁决负责。评估方法评估者应报告所使用的评估方法、技术、工具和标准。评估者可以注明在评估ISPP/ISST时所使用

45、的评估准则、方法和解释。评估者应报告所有对评估结果有影响的假设和限制。评估者可在报告中加入与法律法规、组织机构、保密性等相关的信息。评估结果评估者应针对组成ISPP评估活动中的每个评估行为，给出所做的裁决结果和支持裁决结果的基本原理，作为执行相应评估行为和评估活动的结果。基本原理应使用GB/T 20274、本标准、解释和已确认过的评估证据来证明评估裁决是正确的，并指出评估证据如何满足或不满足评估标准的每个方面。基本原理包括对所做工作、所使用方法以及结果推导的描述。基本原理可以详细到评估方法工作单元（组件）的程度。结论和建议评估者应报告评估的结论。评估者应提供一些对申请者、开发者可能有用的建议。

46、这些建议可以包括在评估期间发现的ISPP的缺陷。评估证据列表评估者应报告每项评估证据的以下信息：评估证据提供者（例如开发者、申请者）；标题；唯一索引（例如发布日期、版本号）。缩略语/术语表评估者应报告评估报告中所使用的所有缩略语或缩写词。已由GB/T 20274或本标准定义的术语在评估报告中不需要重复。TOE评估报告本节描述TOE评估报告所需要的最少内容。TOE评估报告的内容如图5所示；在构建评估报告文档的结构大纲时，该图可以用作指南。评估报告引言TOE描述评估方法评估结果结论和建议缩略语/术语表测试/核查报告评估证据列表 图5 TOE评估报告信息内容引言评估者应报告评估体制的标识符（例如标志

47、），以明确地标识负责评估机构的信息。评估者应报告评估报告的配置控制标识符，包含有标识评估报告的信息（例如名称、日期和版本号）。评估者应报告TOE配置控制标识符，以标识出哪些正在被评估。如果ISST声明TOE遵从一个或几个ISPP的要求，则评估报告应声明所遵从的ISPP。ISPP引言中应含有能唯一地标识出ISPP的信息（例如标题、日期、版本号）。评估者应报告开发者的身份，以标识出谁负责产生该TOE。评估者应报告申请者的身份，以标识出谁负责向评估者提供评估证据。评估者应报告评估者的身份，以标识出谁执行评估并且对评估裁决负责。TOE描述评估者应报告TOE描述，包括信息系统描述、信息系统技术、管理和业

48、务体系的详细描述。评估方法评估者应报告所使用的评估方法、技术、工具和标准。评估者可以注明在评估TOE时所使用的评估准则、方法和解释，注明在执行测试时所使用的设备。评估者应报告所有对评估结果有影响的假设和限制。评估者可在报告中加入与法律法规、组织机构、保密性等相关的信息。评估结果对于每个TOE评估活动，评估者应报告：评估活动名称；对组成该活动的每个评估行为所做的裁决和支持性基本原理，作为执行相应评估行为及其组成工作单元的结果。基本原理应使用GB/T 20274、本标准、任何解释和已检查过的评估证据来证明评估裁决是正确的，并指出证据如何满足准则的每个方面或者为什么没有满足准则要求。基本原理包括对所

49、做工作、所使用方法以及结果推导等的描述。基本原理可以详细到评估方法工作单元这种程度。评估者应报告工作单元明确需要的所有信息。结论和建议评估者应报告评估的结论，评估结论将涉及判定TOE是否已经满足其相关ISST。评估者应提供一些对申请者、开发者可能有用的建议。这些建议可以包括在评估期间发现的信息系统的缺陷。评估证据列表评估者应报告每项评估证据的以下信息：评估证据提供者（例如开发者、申请者）；标题；唯一索引（例如发布日期、版本号）。缩略语/术语表评估者应报告评估报告中所使用的所有缩略语或缩写词。已由GB/T 20274或本标准定义的术语在评估报告中不需要重复。测试/核查报告评估者应报告在评估期间产

50、生的并能够唯一标识测试/核查报告及其状态的完整列表。该列表应包含测试/核查报告的标识符、标题或其内容的摘要。信息系统保护轮廓评估引言本章介绍ISPP评估。每一个ISPP评估的要求和方法都是相同的，不考虑ISPP中提出的ISAL。目的本章所述的评估方法建立在GB/T 20274.1-2006附录A中ISPP内容的基础上。ISPP定义了某种类型信息系统与实现无关的一组系统级安全保障要求。在ISPP的描述中，应确定其安全保障要求。安全保障要求应能执行已定义的组织安全策略，并能对抗限定前提下确定的安全威胁。ISPP的评估是为了确定ISPP是否是：完备的：安全要求应能对抗每个被确定的安全威胁，并实现所有

51、的组织安全策略；合理的：针对被确定的安全威胁和组织安全策略，所述安全保障要求是合适的；连贯的：ISPP应该是连贯的；一致的：ISPP应该是内在一致的。信息系统保护轮廓评估相关要求完备的ISPP评估应包括以下活动：a)评估输入任务；b)ISPP评估活动，包含以下活动：1)ISPP引言的评估；2)安全环境的评估；3)信息系统描述的评估；4)安全保障目的的评估；5)安全保障要求的评估；6)符合性声明的评估。c)评估输出任务第七章描述了评估输入任务和评估输出任务。信息系统保护轮廓评估活动信息系统保护轮廓引言的评估目的本节的目的是确定ISPP引言是否完整并与ISPP的其它部分是否保持一致，以及是否正确标

52、识了ISPP。输入ISPP文档。评估行为工作单元1：ISPP标识评估者应核查ISPP引言，是否提供了必要的标识信息以识别、注册和交叉引用ISPP。评估者应确定ISPP标识信息包括：控制和唯一标识ISPP的必要信息（例如ISPP标题、版本号、出版日期、作者和申请机构）；用于开发ISPP的GB/T 20274版本信息；注册信息，如果ISPP在评估前已注册；交叉引用，如果ISPP与其它ISPP（s）有关联；评估体制要求的其它信息。工作单元2：ISPP概述评估者应核查ISPP引言，是否以叙述形式提供了ISPP概述。ISPP概述应为ISPP内容提供概要描述（更详细的描述在信息系统描述中提供），且应详细到

53、能使ISPP的使用者确定ISPP是否是他所需要的。工作单元3：连贯性评估者应检查ISPP引言，以确定它是连贯的。如果ISPP引言的正文和陈述结构能为其目标读者理解，那么ISPP引言就是连贯的。工作单元4：一致性评估者应检查ISPP引言，以确定它是内在一致的。ISPP概述应为ISPP内容提供概要描述，因此有关内在一致性分析会集中在ISPP概述上。一致性分析指南见附录A.1。评估者应检查ISPP引言，以确定ISPP引言与ISPP的其它部分是一致的。评估者应确定ISPP概述提供了TOE描述的精确概括。评估者特别应确定ISPP概述与信息系统描述是一致的，且没有陈述或暗示存在评估范围之外的安全特征。评估

54、者还应确定GB/T 20274一致性声明与ISPP的其它部分一致。一致性分析指南见附录A.1。信息系统描述的评估目的本节的目的是确定信息系统描述是否包含了有助于理解TOE的相关信息，确定该描述是否是完备的和一致的。ISPP中的信息系统描述部分可以帮助了解评估对象的安全保障要求。在信息系统安全保障评估框架中，评估对象是信息系统整体或信息系统技术、工程和管理领域。无论是信息系统整体还是信息系统某一领域，在评估对象描述中都必须先给出整个信息系统的完整描述，然后再对评估对象作进一步描述。评估对象的描述提供了用于评估的背景。在评估对象描述中给出的信息将用于在评估过程中识别不一致的地方。由于一般不指明特定

55、的实现，因此描述的评估对象特性可能是假设的。评估对象描述的具体内容可参考GB/T 20274.1的附录内容。输入ISPP文档。评估行为工作单元1：系统使命描述评估者应检查信息系统描述，以确定它描述了信息系统的使命。工作单元2：信息系统概述评估者应检查信息系统描述，以确定它对信息系统进行了整体描述。评估者应确定信息系统描述是否给出了对信息系统的标识的描述；评估者应确定信息系统描述是否给出了对信息系统环境的描述；评估者应确定信息系统描述是否给出了对信息系统评估边界和接口的描述；评估者应确定信息系统描述是否给出了信息系统安全域的描述。工作单元3：信息系统详细描述评估者应确定信息系统描述是否对包含在信

56、息系统中的评估对象进行了进一步描述。评估者应确定信息系统描述中是否包含了对信息系统技术体系的描述，应检查信息系统描述中是否包含对信息系统适用的技术标准、网络基础设施、技术应用等方面的描述；评估者应确定信息系统描述中是否包含了对信息系统管理体系的描述，应检查信息系统描述中是否包含对组织机构、管理制度及法规、系统资产等方面的描述；评估者应检查信息系统描述中是否包含了对信息系统业务体系的描述，应检查信息系统描述中是否包含对主要业务应用、业务流程和业务信息流等方面的描述。工作单元4：连贯性评估者应检查ISPP，以确定信息系统描述是连贯的。如果信息系统描述的陈述结构和正文能为TOE的目标读者（即评估者和

57、用户）理解的话，信息系统描述就是连贯的。工作单元5：一致性评估者应检查ISPP，以确定TOE的描述是内在一致的。提醒评估者注意的是，ISPP的这一节仅用于定义TOE的一般目的。一致性分析指南见附录A.1。评估者应检查ISPP，以确定信息系统描述与ISPP的其它部分是一致的。评估者尤其应确定信息系统描述不包括那些评估范围以外的安全威胁、安全特征或TOE的配置。一致性分析指南见附录A.1。安全环境的评估目的本节的目的是确定在ISPP中安全环境的陈述是否为有关TOE及其预期应用环境的安全问题提供了清晰、一致的定义。输入ISPP文档。评估行为工作单元1：假设评估者应检查安全环境的陈述，以确定它标明并解

58、释了所有假设。这些假设可以分成TOE预期使用方面的假设和TOE使用环境方面的假设。评估者应确定TOE预期使用的假设阐明了TOE预期使用的各个方面，如：TOE预期应用，需要TOE保护的资产的潜在价值，以及使用TOE可能存在的限制。评估者应确定ISPP中对TOE预期使用的所有假设都进行了详细解释，以保证用户确定其预期使用与这些假设相匹配。评估者确定TOE使用环境的假设包括物理、人员、连接性方面： 物理方面：包括为了使TOE以安全方式行使其功能，而对TOE的物理位置或附加的外围设施而做的所有假设。例如：假设管理员控制台严格限制在管理员个人范围内；假设TOE所有文件的存储只能在TOE运行的工作站上进行

59、。人员方面：包括为了使TOE以安全方式行使其功能，而对在安全环境内的用户和TOE管理员，或其他个人（包括具有潜在威胁的主体）所做的所有假设。例如：假设用户具有特殊技能或专门技术；或用户具有确定的最小权限；管理员每月更新防病毒数据库。连接性方面：包括为了使TOE以安全方式行使其功能，而对TOE与其它信息系统或产品（硬件、软件、固件或它们的组合）之间连接的所有假设。例如：假设存储TOE产生的日志文件至少需要100MB的外部磁盘空间；假设TOE是在特定工作站上运行的唯一的非操作系统应用程序；假设TOE的软驱是禁用的；假设TOE不会连接到任何不可信的网络。工作单元2：威胁评估者应确定TOE使用环境的所

60、有假设都得到详细的解释，使用户能够确定他们的预期环境与假设环境相匹配。如果没有清楚地理解这些假设，最终可能导致TOE在不能安全行使其功能的环境中使用。评估者应检查安全环境的陈述，以确定所有威胁都被标识并得以解释。如果TOE和其环境安全目的只源于组织的安全策略和假设，那么ISPP中就可以不含安全威胁陈述，如果ISPP不包括安全威胁陈述，则该工作单元不适用，并视为满足。评估者应确定所有已标识的安全威胁都用已标识安全威胁主体、攻击和攻击的资产的术语进行了清楚的解释。评估者还应确定安全威胁主体可在专业技术、可用资源和动机等方面具有表征，攻击可在攻击方法、可利用的脆弱性和时机等方面具有表征。工作单元3：