GB/Z 20283-2006信息安全技术保护轮廓和安全目标的产生指南

ICS35.040L80中华人民共和国国家标准化指导性技术文件GB/Z20283—2006信息安全技术保护轮廊和安全目标的产生指南Informationsecuritytechnology-GuidefortheproduetionofProtectionProfilesandSecurityTargets(ISO/IECTR15446:2004,InformationtechnologySecuritytechniques--GuidefortheproductionofProtectionProfilesandSeeurityTargets.NEQ)2006-05-31发布中华人民共和国国家质量监督检验检疫总局爱布中国国家标准化管理委员会

GB/Z20283-2006前言引言1范围2规范性引用文件术语和定义4PP和ST概述4.14.2PP和ST内容4.3PP与ST的关系4.4PP或ST的目标读者4.5PP和ST的开发过程4.6PP族·…·……………·……·……·5PP和ST的描述部分5.1简介“····5.2PP和ST的描述部分6「OE安全环境………；6.1简介6.2识别和确定假设6.3识别和确定威胁6.4识别和确定组织安全策略7.2确定TOE安全目的7.3确定环境安全目的….1288安全要求……….B8.2确定PP或ST中的安全功能要求确定PP或ST中的保证要求8.3208.4环境安全要求……·TOE概要规范8确定1T安全功能9.29.3确定安全机制·.4确定保证措施·….10PP声明………10.1简介10.2PP引用10.3：PP裁剪

GB/Z20283-200610.4PP附件11PP和ST基本原理2511.2PP和ST中的安全目的基本原理11.3PP和ST中的安全要求的基本原理12：复合及部件TOE的PP与ST3112.2复合TOE12.3部件TOE3813功能和保证包13.1背景·……3413.2确定功能包34确定保证包13.335附录A(资料性附录）指南核查表36A.1简介30A.2PP和ST简介36「OE描述……….A.33A.4定义TOE安全环境·36A.5定义安全目的定IT安全要求……….A.6产生TOE概要规范A.7A.8构建PP基本原理……….A.9构建ST基本原理防火墙PP与ST示例附录B(资料性附录）PP与ST简介B.1TOE描述B.2安全环境B.3B.4安全目的5B.5JT安全要求40TOE概要规范B.6B.7PP声明·…B.8PP基本原理42B.9ST基本原理43附录C(资料性附录）数据库PP示例44C.1简介·44安全环境℃.244℃.3安全目的JT安全要求C.445C.5PP基本原理参考文献

GB/Z20283—2006本指导性技术文件与ISO/IECTR15446：2004《信息技术安全技术保护轮廊和安全目标产生指南》的一致性程度为非等效差异包括：根据（B/T1.1的要求对第1章至第3章的内容重新作了编排：规范性引用文件中将ISO/IEC15408:1999改为GB/T18336—2001.并对指导性技术文件中引用的GB/T18336－2001的章条编号进行了一致性处理：C删除了ISO/IECTR15446:2004中的第5章，以及资料性附录B（一般事例)、附录C(密码功能说明)和附录F(可信第三方保护轮魔示例)。本指导性技术文件的附录A、附录B、附录C是资料性附录。本指导性技术文件由全国信息安全标准化技术委员会提出并归口本指导性技术文件起草单位：中国信息安全产品测评认证中心。本指导性技术文件主要起草人：李守鹏、徐长醒、李红阳、刘威鹏、刘晖、付敏、简余良、周瑾

GB/Z20283—2006GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》基于风险管理的思想,使用保护轮廊(ProtectionProfile.PP)和安全目标（SecurityTarget.ST)构成灵活科学的安全测评框架,已成为表述安全的事实上的国际语言。本指导性技术文件的目的是帮助开发者、使用者、测评者等更规范更详细地表述安全目标和安全要求。本指导性技术文件是GB/T18336—2001的辅助性指南文件,为保护轮廊或安全目标各部分内容的描述及其相互关系提供了技术指南本指导性技术文件的使用者应该熟悉（B/T18336—2001。本指导性技术文件不解决诸如PP注册以及PP中涉及知识产权保护的间题(如：专利)。

GB/Z20283—2006信息安全技术保护轮廊和安全目标的产生指南1范围本指导性技术文件描述保护轮廊（PP)和安全目标（ST）中的内容及其各部分内容之间的相互关系，并在附录中给出了若干实例.供感兴趣的读者参考。本指导性技术文件给出PP和ST文档内容的概述、示例目录清单和目标用户最关心的其他内容并陈述了PP与ST之间的关系.以及PP和ST的开发编写过程，为使用者编写PP和ST提供指导。规范性引用文件下列文件中的有关条款通过本指导性技术文件的引用而成为本指导性技术文件的条款。凡注明日期的引用文件,其随后所有的修改单(不包括勒误的内容)或修订版均不适用于本指导性技术文件，然而，鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件最新版本。凡是不注日期的引用文件.其最新版本适用于本指导性技术文件。GB/T5271.8-2001信息技术词汇第8部分：安全（idtISO/IEC2382-8:1998)GB/T18336.1—2001信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型（idtISO/IEC15408.1:1999）GB/T18336.2-2001信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求(idtISO/IEC15408-2:1999)GB/T18336.3-2001信息技术安安全技术信息技术安全性评估准则第3部分：安全保证要求（idtISO/IEC15408-3:1999)3术语和定义GB/T5271.8-2001.GB/T18336.1-2001、GB/T18336.2-2001和GB/T18336.3-2001确立的术语、定义和缩略语适用于本指导性技术文件。4PP和ST概达4.1简介本章提供PP和ST的概述,总结它们的内容.并讨论两者之间的关系,以及文档开发的流程，、参见GB/T18336.1-2001的附录B和附录C.4.2PP和ST内容GB/T18336.1-2001的图B.1中描述了PP中所要求的内容条目。表1是PP推荐结构的示例目录清单。GB/T18336.1—2001的图C.1中描述了ST所要求的内容条目。表2是ST推荐结构的示例目录清单。PP和ST的读者应该很容易地找到所需要的内容在PP或ST中