GB/T 20276-2016信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求

ICS35040

L80.

中华人民共和国国家标准

GB/T20276—2016

代替

GB/T20276—2006

信息安全技术

具有中央处理器的IC卡嵌入式软件

安全技术要求

Informationsecuritytechnology—

SecurityrequirementsforembeddedsoftwareinICcardwithCPU

2016-08-29发布2017-03-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T20276—2016

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………1

卡嵌入式软件描述

4IC……………………2

安全问题定义

5……………2

资产

5.1…………………2

威胁

5.2…………………3

组织安全策略

5.3………………………4

假设

5.4…………………4

安全目的

6…………………5

安全目的

6.1TOE………………………5

环境安全目的

6.2………………………6

安全要求

7…………………6

安全功能要求

7.1………………………6

安全保障要求

7.2………………………11

基本原理

8…………………24

安全目的基本原理

8.1…………………24

安全要求基本原理

8.2…………………26

组件依赖关系

8.3………………………28

参考文献

……………………30

GB/T20276—2016

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术智能卡嵌入式软件安全技术要求增强

GB/T20276—2006《(EAL4

级本标准与相比主要变化如下

)》。GB/T20276—2006,:

将标准名称变更为信息安全技术具有中央处理器的卡嵌入式软件安全技术要求

———《IC》;

第章对术语进行了更新描述

———3;

第章重新描述了卡嵌入式软件的结构和应用环境并进行了更清晰的范围定义

———4IC,TOE;

第章对安全问题定义进行了整合和精简共定义了个威胁项组织安全策略和个

———5,6,35

假设

;

第章根据新的安全问题定义更新了对安全目的的描述

———6TOE;

第章对安全功能要求进行了调整以细化新的安全目的描述明确指出了和

———7,,EAL4+

分别应满足的安全功能要求并对安全保障要求进行了调整增加了要求的

EAL5+;,EAL5+

保障组件

;

第章对新的安全问题定义与安全目的安全目的与安全要求之间的对应关系基本原理重新

———8、

进行了梳理还分析了组件之间的依赖关系

,。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息安全测评中心北京多思科技工业园股份有限公司天地融科技股份有

:、、

限公司北京邮电大学吉林信息安全测评中心

、、。

本标准主要起草人张翀斌石竑松高金萍杨永生王宇航饶华一王亚楠陈佳哲李东声

:、、、、、、、、、

李明曹春春沈敏锋崔宝江赵晶玲唐喜庆刘占丰刘丽邹兆亮

、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T20276—2006。

Ⅰ

GB/T20276—2016

引言

卡应用范围的扩大和应用环境复杂性的增加要求卡嵌入式软件具有更强的安全保护能力

IC,IC。

本标准的是在的基础上将增强为是在

EAL4+EAL4AVA_VAN.3AVA_VAN.4;EAL5+

的基础上将增强为并将增强为

EAL5AVA_VAN.4AVA_VAN.5,ALC_DVS.1ALC_DVS.2。

Ⅱ

GB/T20276—2016

信息安全技术

具有中央处理器的IC卡嵌入式软件

安全技术要求

1范围

本标准规定了对增强级和增强级的具有中央处理器的卡嵌入式软件进行安全保

EAL4EAL5IC

护所需要的安全技术要求涵盖了安全问题定义安全目的安全要求基本原理等内容

,、、、。

本标准适用于具有中央处理器的卡嵌入式软件产品的测试评估和采购也可用于指导该类产

IC、,

品的研制和开发

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

所有部分信息技术安全技术信息技术安全评估准则

GB/T18336()

信息安全技术术语

GB/T25069—2010

3术语和定义缩略语

、

31术语和定义

.

和中界定的以及下列术语和定义适用于本文件

GB/T25069—2010GB/T18336.1。

311

..

个人化数据Personalizationdata

在卡嵌入式软件的个人化过程中写入的数据