国家信息安全测评认证标准体系

国家信息平安测评认证

标准体系目录1、概述2、根底标准3、应用标准4、运行标准5、标准化工作概述—标准化根底标准：为在一定的范围内获得最正确秩序，对活动或其结果规定共同的和重复使用的规那么、导那么或特性的文件。强制性标准：保障人体健康、人身、财产平安的标准和法律、行政法规规定强制执行的标准；其它标准是推荐性标准。我国标准分四级：国家标准、行业标准、地方标准、企业标准。概述—标准化根底标准化：为在一定的范围内获得最正确秩序，对实际的或潜在的问题制定共同的和重复使用的规那么的活动。实质：通过制定、发布和实施标准，到达统一。目的：获得最正确秩序和社会效益。概述—标准化根底标准化的根本特性：①抽象性②技术性③经济性④连续性，亦称继承性⑤约束性⑥政策性概述—标准化根底标准化三维空间国际级区域级国家级行业级地方级企业级人员效劳系统产品过程管理应用技术机制体系、框架术语XYZX轴代表标准化对象，Y轴代表标准化的内容，Z轴代表标准化的级别。

概述—标准化根底标准化的地位和作用标准化为科学管理奠定了根底；促进经济全面开展，提高经济效益；标准化是科研、生产、使用三者之间的桥梁；标准化为组织现代化生产创造了前提条件；促进对自然资源的合理利用，保持生态平衡，维护人类社会当前和长远的利益；合理开展产品品种，提高企业应变能力，以更好地满足社会需求；保证产品质量，维护消费者利益；在社会生产组成局部之间进行协调，确立共同遵循的准那么，建立稳定的秩序；在消除贸易障碍，促进国际技术交流和贸易开展，提高产品在国际市场上的竞争能力方面具有重大作用；保障身体健康和生命平安。大量的环保标准、卫生标准和平安标准制定发布后，用法律形式强制执行，对保障人民的身体健康和生命财产平安具有重大作用。概述—标准化根底标准化对象标准化研究对象标准化学的根本概念支撑标准化学的理论根底标准化原理的研究标准化形式的研究标准化系统的研究标准体系的研究标准化科学管理的研究标准化工作对象制定和实施标准：技术根底、产品标准、过程、效劳标准的实施监督概述—标准化根底国际通行“标准化七原理〞：原理1---简化原理2---协商一致原理3---实践、运用原理4---选择、固定原理5---修订原理6---技术要求+试验方法+抽样原理7---强制性适应于：平安、健康、环保等概述—标准化根底我国通行“标准化八字原理〞：“统一〞原理“简化〞原理“协调〞原理“最优〞化原理概述—标准化根底采标：等同采用：指技术内容相同，没有或仅有编辑性修改，编写方法完全相对应；等效采用：指主要技术内容相同，技术上只有很小差异，编写方法完全相对应；非等效采用：指技术内容有重大差异。概述—标准化根底标准体系：一定范围内标准按其内在联系形成的科学的有机整体标准体系是具有层次的，我国全国标准体系表可分成五个层次。1、全国通用标准4、门类通用标准3、专业通用标准2、行业通用标准5、产品、过程、服务、管理标准第一层第二层第三层第四层第五层全国标准体系第一层第二层第三层专业标准体系第一层第二层第三层第四层行业标准体系概述—IT标准化国际标准化ISO/IECJTC1ECMAIETFITUIEEEESTI……国内标准化标准化所归口14个分委会“汉字编码字符集〞概述—IT标准化IT标准开展趋势(1)标准逐步从技术驱动向市场驱动方向开展。(2)信息技术标准化机构由分散走向联合。(3)信息技术标准化的内容更加广泛，重点更加突出，从IT技术领域向社会各个领域渗透，涉及教育、文化、医疗、交通、商务等广泛领域，需求大量增加。(4)从技术角度看，IT标准化的重点将放在网络接口、软件接口、信息格式、平安等方面，并向着以技术中立为前提，保证互操作为目的方向开展。概述—信息平安标准化ISOJTC1SC27，信息技术-平安技术ISO/TC68银行和有关的金融效劳JTC1其他分技术委员会：SC6—系统间通信与信息交换，主要开发开放系统互连下四层平安模型和平安协议，如ISO9160、ISO/IEC11557。SC17—识别卡和有关设备，主要开发与识别卡有关的平安标准。SC18—文件处理及有关通信，主要开发电子邮件、消息处理系统等平安标准。SC21—开放系统互连，数据管理和开放式分布处理，主要开发开放系统互连平安体系结构，各种平安框架，高层平安模型等标准，如:ISO/IEC7498-2、ISO/IEC9594-1至8。SC22—程序语言，其环境及系统软件接口，也开发相应的平安标准。SC30—开放式电子数据交换，主要开发电子数据交换的有关平安标准。如ISO9735-9、ISO9735-10。概述—信息平安标准化IECTC56可靠性；TC74IT设备平安和成效；TC77电磁兼容；CISPR无线电干扰特别委员会ITU前身是CCITT消息处理系统目录系统(X.400系列、X.500系列)平安框架平安模型等标准概述—信息平安标准化IETF〔170多个RFC、12个工作组〕PGP开发标准(openpgp)；鉴别防火墙遍历(aft)；通用鉴别技术(cat)；域名效劳系统平安(dnssec)；IP平安协议(ipsec)；一次性口令鉴别(otp)；X.509公钥根底设施(pkix)；S/MIME邮件平安(smime)；平安Shell(secsh)；简单公钥根底设施(spki)；传输层平安(tls)Web处理平安(wts)概述—信息平安标准化ECMATC32——“通信、网络和系统互连〞曾定义了开放系统应用层平安结构；TC36——“IT平安〞负责信息技术设备的平安标准。美国ANSINCITS-T4制定IT平安技术标准X9制定金融业务标准X12制定商业交易标准概述—信息平安标准化NIST负责联邦政府非密敏感信息FIPSDOD负责涉密信息NSA国防部指令〔DODDI〕〔如TCSEC〕IEEESILSP1363我国38个标准概述—国家信息平安标准体系根底类标准信息技术平安词汇信息技术平安体系结构信息技术平安框架信息技术平安模型概述—国家信息平安标准体系技术机制类标准加密机制签名机制完整性机制鉴别机制访问控制机制抗抵赖机制路由选择控制机制通信业务填充机制公证机制可信功能度事件检测和报警平安审计跟踪平安标记平安恢复其他概述—国家信息平安标准体系应用类标准应用根底物理环境和保障信息处理信息传输信息存储人机接口计算机病毒防治平安工程和效劳平安信息交换语法规那么应用产品应用系统特殊行业概述—国家信息平安标准体系平安管理类标准管理根底系统管理测评认证信息技术平安性评估准那么〔ISO/IEC15408:1999〕〔CC〕计算机信息系统平安保护等级划分准那么(GB17859：1999)PP/ST产生指南(ISO/IECPDTR15446:2000)通用测评方法(SC27N2722|CEM)PP注册(ISO/IECCD15292:2000)系统平安工程能力成熟模型(SSE-CMM)平安工程质量评估准那么信息平安效劳评估准那么根底标准平安体系结构前CC准那么GB/T18336-2001〔idtISO/IEC15408：1999、CC〕CEMPP和ST产生指南SSE-CMMISO9000族ISO/IEC17799根底标准—平安体系结构国家标准GB/T9387.2-1995?信息处理系统开放系统互连根本参考模型——第二局部：平安体系结构?〔idtISO7498-2〕RFC2401因特网平安体系结构根底标准—平安体系结构ISO开放系统互连平安体系结构

OSI参考模型7应用层6表达层5会话层4运输层3网络层2链路层1物理层平安机制公证路由控制业务流填充鉴别交换数据完整性访问控制数字签名加密平安效劳鉴别效劳

访问控制数据完整性数据保密性抗抵赖与管理有关机制公证机制与平安效劳有关机制数据完整性机制

平安恢复机制平安审核机制事件探测机制平安标签机制可信功能机制路由控制机制防业务流分析机制认证交换机制

访问控制机制

数字签名机制平安机制加密机制平安效劳对象认证平安效劳访问控制平安效劳数据机密性平安效劳数据完整性平安效劳抗抵赖平安效劳平安效劳是由平安机制来实现的。一个平安效劳可以由一个或几个平安机制来实现；同样，一个平安机制也可用于实现不同的平安效劳中。平安效劳与平安机制的关系根底标准—平安体系结构TCP/IP平安体系应用层表示层会话层传输层网络层数据链路层物理层FTP、TELNETNFSSMTP、SNMPXDRRPCTCP、UDPIPEthernet、PDN、IEEE802.3、IEEE802.4、IEEE802.5及其它

ICMPARPRARPOSI参考模型Internet协议簇TCP/IP协议模型中提供的平安效劳IP层平安体系结构IPsec协议标准RFC2402IPAuthenticationHeaderRFC2403TheUseofHMAC-MD5-96withinESPandAHRFC2404TheUseofHMAC-SHA-1-96withinESPandAHRFC2405TheESPDES-CBCCipherAlgorithmWithExplicitIVRFC2406IPEncapsulatingSecurityPayload(ESP)根底标准—前CC准那么美国TCSEC1970年由美国国防科学委员会提出。1985年公布。主要为军用标准。延用至民用。平安级别从高到低分为A、B、C、D四级，级下再分小级。分级主要依据四个准那么：a平安政策b可控性c保证能力d文档欧洲多国平安评价方法的综合产物，军用，政府用和商用。以超越TCSEC为目的，将平安概念分为功能与功能评估两局部。功能准那么在测定上分F1-F10共10级。1－5级对应于TCSEC的D到A。6－10级加上了以下概念：F6：数据和程序的完整性F7：系统可用性F8：数据通信完整性F9：数据通信保密性F10包括机密性和完整性的网络平安评估准那么分为6级：E1：测试E2：配置控制和可控的分配E3：能访问详细设计和源码E4：详细的脆弱性分析E5：设计与源码明显对应E6：设计与源码在形式上一致。

欧洲ITSEC根底标准—前CC准那么

加拿大CTCPEC1989年公布，专为政府需求而设计与ITSEC类似，将平安分为功能性需求和保证性需要两局部。功能性要求分为四个大类：a机密性b完整性c可用性d可控性在每种平安需求下又分成很多小类，表示平安性上的差异，分级条数为0－5级。根底标准—前CC准那么CTCPEC的功能性要求及分级美国联邦准那么(FC)对TCSEC的升级1992年12月公布引入了“保护轮廓〔PP〕〞这一重要概念每个轮廓都包括功能局部、开发保证局部和评测局部。分级方式与TCSEC不同，吸取了ITSEC、CTCPEC中的优点。供美国政府用、民用和商用。根底标准—前CC准那么GB17859-1999计算机信息系统平安等级划分准那么根底标准—前CC准那么平安等级保护制度国务院令147号?中华人民共和国计算机信息系统平安保护条例?第九条：计算机信息系统实行平安等级保护。等级保护制度内容平安等级保护标准体系等级划分标准等级设备标准等级建设标准等级管理标准平安等级保护管理的行政法规平安等级保护所需的系统设备平安等级系统的建设和管理等级划分准那么计算机信息系统平安等级保护系列标准的核心实行计算机信息系统平安等级保护制度建设的重要根底等级划分准那么的目的支持计算机信息系统平安法规的制定为计算机信息系统平安产品的研发提供功能框架为平安系统的建设和管理提供技术指导等级划分准那么内容第五级：访问验证保护级第四级：结构化保护级第三级：安全标记保护级第二级：系统审计保护级第一级：用户自主保护级可信计算基〔TCB〕TCB——TrustedComputingBase一个实现平安策略的机制包括硬件、固件和软件根据平安策略来处理主体〔系统管理员、平安管理员、用户〕对客体〔进程、文件、记录、设备等〕的访问TCB的特性实施主体对客体的平安访问功能抗篡改的性质易于分析与测试的结构平安保护能力主要取决于TCB各级之间的差异主要表达在TCB的构造以及它所具有的平安保护能力第一级用户自主保护级本级的计算机信息系统TCB通过隔离用户与数据，使用户具备自主平安保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，防止其他用户对数据的非法读写与破坏。第一级自主访问控制为用户提供身份鉴别TCB通过自主完整性策略，阻止非授权用户修改或破坏敏感信息第二级系统审计保护级与用户自主保护级相比，本级的计算机信息系统TCB实施了粒度更细的自主访问控制，它通过登录规程、审计平安性相关事件和隔离资源，使用户对自己的行为负责。第二级自主访问控制客体的平安重用为用户提供身份鉴别和平安审计TCB提供并发控制等机制，以确保多个主体对同一客体的正确访问第三级平安标记保护级本级的计算机信息系统TCB具有系统审计保护级所有功能。此外，还提供有关平安策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。第三级TCB实施强制访问控制，以敏感标记为主体和客体指定其平安等级。平安等级是一个二维组，第一维是分类等级〔如密码、数字签名等〕，第二维是范畴。主体分类等级的级别高于客体分类等级的级别，主体范畴包含客体范畴时，主体才能读一个客体主体分类等级的级别低于或等于客体分类等级的级别，主体范畴包含于客体范畴时，主体才能写一个客体第三级身份鉴别和审计TCB应提供定义、验证完整性约束条件的功能，以维护客体和敏感标记的完整性第四级结构化保护级本级的计算机信息系统TCB建立于一个明确定义的形式化平安策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统TCB必须结构化为关键保护元素和非关键保护元素。第四级计算机信息系统TCB的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。第四级TCB基于一个明确定义的形式化平安保护策略。将第三级实施的访问控制〔自主的和强制的〕扩展到所有主体和客体。针对隐蔽信道，将TCB构造成为关键保护元素和非关键保护元素。TCB具有合理定义的接口，使其能够经受严格测试和复查。通过提供可信路径来增强鉴别机制。支持系统管理员和操作员的职能，提供可信实施管理，增强严格的配置管理控制。第四级系统管理员、系统用户、安全管理员身份鉴别、审计TCB的关键保护元素TCB的非关键保护元素形式化的安全策略模型

自主访问控制标记、客体重强制访问控制用、运行支持第五级访问验证保护级本级的计算机信息系统TCB满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施平安策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。第五级支持平安管理员职能；扩充审计机制，当发生与平安相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。第五级在TCB的构造方面，具有访问监控器访问控制能够为每个客体指定用户和用户组，并规定他们对客体的访问模式TCB扩展了审计能力TCB提供可信恢复机制，保证系统失效或中断后，可以进行不损害任何平安保护性能的恢复访问监控器访问控制数据库客体主体访问监控器审计文件根底标准—CC准那么GB/T18336:2001信息技术平安性评估准那么〔idtISO/IEC15408-1999〕要点概述标准内容和关键概念评估模型国际互认概述ISO/IEC15408=CommonCriteria(CC)

平安准那么&产品评估促进因素国际IT市场趋势各国的根本平安要求早期准那么的演变和改进信息系统平安问题需要国际标准开展史1990年欧洲信息技术平安性评估准那么〔ITSEC〕1993年通用评估准那么〔CC〕1985年美国可信计算机系统评估准那么〔TCSEC〕1990年加拿大可信计算机产品评估准那么〔CTCPEC〕1991年美国联邦准那么〔FC〕1999年国际标准〔ISO15408〕第三代通用准那么〔CC〕国际标准化组织统一现有多种准那么的努力结果；1993年开始，1996年出V1.0,1998年出V2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC15408；主要思想和框架取自ITSEC和FC；充分突出“保护轮廓〞，将评估过程分“功能〞和“保证〞两局部；是目前最全面的评价准那么通用准那么〔CC〕〔续〕国际上认同的表达IT平安的体系结构一组规那么集一种评估方法，其评估结果国际互认通用测试方法〔CEM〕已有平安准那么的总结和兼容通用的表达方式，便于理解灵活的架构可以定义自己的要求扩展CC要求准那么今后开展的框架标准内容和关键概念GB/T18336-1：简介和一般模型保护轮廓标准平安目标标准GB/T18336-2：平安功能要求GB/T18336-3：平安保证要求标准的文档结构第1局部范围引用标准定义：缩略语和术语概述：介绍主要概念、目标用户、评估环境和文档结构一般模型：介绍CC的一般模型CC要求和评估结果：提出评估要求和评估结果的应用附录A通用准那么工程：介绍CC工程来源附录B保护轮廓标准：介绍PP的主要内容附录C平安目标标准：介绍ST的主要内容附录D参考书目：列出标准的参考书目第2局部范围引用标准平安功能组件FAU类：平安审计FCO类：通信FCS类：密码支持 FDP类：用户数据保护 FIA类：标识和鉴别FMT类：平安管理FPR类：隐私 FPT类：TSF保护FRU类：资源利用FTA类：TOE访问FTP类：可信路径/信道附录A平安功能要求应用注释附录B功能类、族和组件附录C平安审计〔FAU〕附录D通信〔FCO〕附录E密码支持〔FCS〕附录F用户数据保护(FDP)附录G标识和鉴别〔FIA〕附录H平安管理(FMT)附录I隐私(FPR)附录JTSF保护〔FPT〕附录K资源利用(FRU)附录LTOE访问(FTA)附录M可信路径/通道(FTP)第3局部范围引用标准平安保证要求保护轮廓与平安目标评估准那么APE类：保护轮廓评估ASE类：平安目标评估评估保证级保证类、族和组件ACM类：配置管理ADO类：交付和运行ADV类：开发AGD类:指导性文件ALC类:生命周期支持ATE类:测试AVA类:脆弱性评定保证维护范例AMA类:保证的维护附录A保证组件依赖关系的交叉引用附录BEAL和保证组件的交叉引用

用户

开发者

评估者标准的目标读者系统管理员和系统平安管理员内部和外部审计员平安规划和设计者认可者评估发起者评估机构本标准定义作为评估信息技术产品和系统平安特性的根底准那么不包括属于行政性管理平安措施的评估准那么；不包括物理平安方面〔诸如电磁辐射控制〕的评估准那么；不包括密码算法固有质量评价准那么标准的应用范围关键概念评估对象——TOE(TargetofEvaluation)保护轮廓——PP(ProtectionProfile〕平安目标——ST(SecurityTarget〕功能(Function)保证(Assurance)组件(Component)包(Package)评估保证级——EAL(EvaluationAssuranceLevel〕评估对象〔TOE〕产品、系统、子系统保护轮廓〔PP〕表达一类产品或系统的用户需求组合平安功能要求和平安保证要求技术与需求之间的内在完备性提高平安保护的针对性、有效性平安标准有助于以后的兼容性同TCSEC级类似PP的内容平安目标〔ST〕IT平安目的和要求要求的具体实现实用方案适用于产品和系统与ITSECST类似ST的内容功能/保证结构类〔如用户数据保护——FDP〕关注共同的平安焦点的一组族，覆盖不同的平安目的范围子类〔如访问控制——FDP_ACC〕共享平安目的的一组组件，侧重点和严格性不同组件〔如子集访问控制——FDP_ACC.1)包含在PP/ST/包中的最小可选平安要求集组件CC将传统的平安要求分成不能再分的构件块用户/开发者可以组织这些要求到PP中到ST中组件可以进一步细化平安要求的结构类〔Class〕子类〔Family〕子类〔Family〕组件组件组件组件功能和保证PP/ST/包………功能标准IT产品和系统的平安行为，应做的事平安功能要求类135个组件保证对功能产生信心的方法平安保证要求APE类-保护轮廓的评估准则ASE类-安全目标的评估准则用于TOE的七个安全保证要求类TOE平安保证类包IT平安目的和要求功能或保证要求〔如EAL〕适用于产品和系统与ITSECE-级类似评估保证级〔EAL〕预定义的保证包公认的广泛适用的一组保证要求评估保证级〔EAL〕EAL1—功能测试EAL2—结构测试EAL3—系统地测试和检查EAL4—系统地设计、测试和复查EAL5—半形式化设计和测试EAL6—半形式化验证的设计和测试EAL7—形式化验证的设计和测试评估保证级〔EAL〕评测级别对应各局部关系子类C1C2C3Cn功能(CCPART2)保证(CCPART3)FamilyC1C2C3CnFamilyC1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn子类C1C2C3Cn功能类保证类功能包为构建PP或ST而选取的一组可重复使用的功能要求评估保证级1评估保证级2评估保证级3评估保证级n保护轮廓包括一个CC评估保证级的一组可重复使用且完备的安全要求。安全目标包括一个CC评估保证级的描述TOE的一组完备要求。可包括保护轮廓、要求和/或其他非CC要求。选择性扩充（非CC）安全要求评估模型评估环境评估准那么评估方法学最终评估结果评估体制评估批准/认证证书列表/注册评估的目的保证技术产生保证评估给出证据所有者提供需要置信度那么对策最小化风险到资产评估流程图评估PPPP评估结果编目PP已评估

的PP评估STST评估结果评估TOETOE评估结果编目证书已评估的TOETOE评估过程

平安需求开发TOETOE和评估评估结果

评估准那么评估方案评估方法操作TOE反响评估TOETOE物理环境确定安全环境假设确定安全目的确定安全要求需保护的资产TOE用途威胁组织安全策略安全目的功能要求保证要求环境要求确定TOE概要规范TOE概要规范CC要求目录安全规范材料(PP/ST)安全要求材料（PP/ST）安全目的材料(PP/ST)安全环境材料(PP/ST)要求和标准的导出评估产品目录PP目录平安需求评估对象分类产品系统授权系统授权准那么二选一可选可选评估后产品开发和评估TOE授权后系统TOE评估结果的应用国际互认互认的意义认同其他机构的评估结果开发商获得更大的市场空间信息化的必然趋势CC国际互认〔1〕1995年，CC工程组成立CC国际互认工作组1997年制订过度性CC互认协定1997年10月美国的NSA和NIST、加拿大的CSE和英国的CESG签署了该协定1998年5月德国的GISA、法国的SCSSI也签署了此互认协定。依照CC1.0版，互认范围限于评估保证级1—3CC国际互认〔2〕1999年10月澳大利亚和新西兰的DSD参加了CC互认协定互认范围开展为评估保证级1—4，但证书发放机构限于政府机构CC国际互认〔3〕今年，又有荷兰、西班牙、意大利、挪威、芬兰、瑞典、希腊、瑞士、以色列等国参加了此互认协定日本、韩国等也正在积极准备参加此协定目前的证书发放机构也不再限于政府机构，非政府的认证机构也可以参加此协定，但必须有政府机构参与或授权

通用评估方法〔CEM〕根底标准—CEM介绍通用评估方法〔CEM〕是为了进行CC评估而开发的一种国际公认方法。CEM支撑信息平安评估的国际互认用户保护轮廓〔PP〕开发者一组用户代表或信息技术〔IT〕产品的一个制造商。PP开发者使用CEM有利于在执行PP评估的一致性和独立性方面证实PP方面的应用。评估对象〔TOE〕开发者可以是IT产品的一个制造商，将IT产品结合到系统中的一个系统集成商，或其他提出IT解决方案的组织实体。用户评估发起者是起动一个评估的组织实体。发起者可以是一个开发者〔如制造商、集成商〕或顾客〔如用户、认可者、系统管理员、系统平安管理员〕。评估者使用CC时要与CEM一致。评估者将把CEM用在CC的一致性使用方面提供详细的指导。监督者是确保所进行的评估过程与CC、CEM一致性的实体。监督者把CEM用于定义评估者所提供的一组一致性信息。相互认可通用评估方法评估者&监督者开发者顾客发起者评估框架开发过程检测过程评估方法〔原那么、程序、过程〕评估过程〔行为〕普遍原那么适当性原那么：为到达一个预定的保证级所采取的评估活动应该是适当的；公正性原那么：所有的评估应当没有偏见；客观性原那么：应当在最小主观判断或主张情形下，得到评估结果；可重复性和可再现性原那么：依照同样的要求，使用同样的评估证据，对同一TOE或PP的重复评估应该导出同样的结果；结果的完善性原那么：评估结果应当是完备的并且采取的技术恰当。假设性能/价格比假设：评估的价值将会弥补所有利益团体所花费的时间、资源和金钱。方法开展假设：评估环境和技术因素变化的影响应当予以充分考虑并一致地反映到评估方法中。可复用性假设：评估应当有效地利用以前的评估结果。术语假设：所有参与评估的团体应当使用共同的命名法。角色间关系准备阶段开发者监督者评估者发起者可行性分析输出协定可行性分析输出协定PP或ST评估交付资源子集评估所需资源子集索要可行性研究信息建议修改ST或PP可行性分析输出协定可行性分析输出协定可行性分析输出协定协定实施阶段开发者监督者评估者发起者观察报告观察报告评估和检测所需资源观察报告观察报告评估和检测所需资源评估和检测所需资源解释结束阶段开发者监督者评估者发起者评估总结报告评估总结报告评估总结报告评估总结报告评估权威机构ISO/IECPDTR15446：2000PP和ST产生指南根底标准—PP和ST产生指南为既定的一系列平安对象提出功能和保证要求的完备集合

可复用集合-对各种应用的抽象

希望和要求的陈述PP定义什么是PP？用户要求陈述用户希望到达什么程度主要针对:业务/商业拥有者对用户、开发者、评估者和审计者都有用系统设计文档将几级要求细化成特定的需求一致性需求符合用户的要求谁用PP？PP是用户要求的根本陈述理想的“使用〞团体应当拥有PP并驱动PP的开发从开发者、评估者、审计者和校准者那里得到输入用户理解任务/商业并能陈述希望怎样的评估对象〔TOE〕不希望怎样的TOE其他卖主难于陈述产品不做什么平安技术专家常常不能完全理解用户要求PP要点范围：PP的适用范围引用标准：与TOE实现相关的其他信息技术标准术语定义和记法约定：一些便于理解PP的术语和PP中相关记法的约定TOE描述：TOE的一般信息TOE类型一般TOE功能TOE界限TOE操作环境有关TOE的主要假设

PP要点〔续〕TOE平安环境：定义TOE“平安需求〞的特征和范围假设：如果环境满足该假定，TOE被认为是平安的威胁：包括TOE及其环境需要保护的特定资产所面临的与TOE平安操作相关的威胁组织平安策略：TOE必须遵守的任何组织平安策略和规那么PP要点〔续〕有关环境的假设对资产的威胁组织平安策略平安需求定义TOE平安环境环境平安目的TOE平安目的平安目的：意在对抗确定的威胁，满足确定的组织平安策略和假定的陈述PP要点〔续〕在确定平安目的时，需要确保每个的威胁，至少有一个平安目的对抗；每个的组织平安策略，至少有一个平安目的来满足。在对抗威胁方面主要有预防、检测和纠正三种目的。威胁组织平安策略假设平安需求TOEIT环境非IT平安要求TOE目的环境目的平安目的IT平安要求平安目的桥梁作用IT平安要求TOE平安要求IT环境平安要求TOE平安功能要求TOE平安保证要求PP要点〔续〕平安功能要求平安保证要求IT环境平安要求TOE平安目的IT环境平安目的ISO/IEC15408第二局部ISO/IEC15408第三局部IT平安要求赋值、反复、选择和细化PP要点〔续〕PP应用注解：对开发、评估或使用TOE是相关的或有用的一些附加信息根本原理：对PP进行评估的依据，证明PP是一个完整的、紧密结合的要求集合，满足该PP的TOE将在平安环境内提供一组有效的IT平安对策平安目的根本原理平安要求根本原理威胁组织平安策略假设平安需求IT平安要求TOE目的环境的目的平安目的相互支持支持恰好满足恰好满足功能强度声明一致根本原理威胁举例T.REPLAY重放当截获了有效用户的识别和鉴别数据后，未授权用户可能在将来使用这些鉴别数据，以访问TOE提供的功能。平安目的举例O.SINUSE单用途TOE必须防止用户重复使用鉴别数据，尝试通过互连网络在TOE上进行鉴别。O.SECFUN平安功能TOE必须提供一种功能使授权管理员能够使用TOE的平安功能，并且确保只有授权管理员才能访问该功能。O.SINUSEFIA_ATD.1用户属性定义：允许为每个用户单独保存其用户平安属性。FIA_UAU.1鉴别定时：允许用户在身份被鉴别前，实施一定的动作。FIA_UAU.4单用户鉴别机制：需要操作单用户鉴别数据的鉴别机制。FMT_MSA.3静态属性初始化：确保平安属性的默认值是允许的或限制某行为的。TOE平安功能要求举例TOE平安功能要求举例FMT_MOF.1平安功能行为的管理：允许授权用户管理TSF中使用规那么或有可管理的指定条件的功能行为。FAU_STG.1受保护的审计踪迹存储：放在审计踪迹中的数据将受到保护，以防止未授权的删除或修改。FAU_STG.4防止审计数据丧失：规定当审计踪迹溢满时的行动。O.SECFUNPP例如“包过滤防火墙平安技术要求〞〔GB18019-99〕“应用级防火墙平安技术要求〞〔GB18020-99〕“路由器平安技术要求〞〔GB18018-99〕“电信智能卡平安技术要求〞“网上证券委托系统平安技术要求〞SSE-CMM系统平安工程能力成熟模型根底标准—SSE-CMMSSE-CMM背景知识开发SSE-CMM的目的：降低开发和维护系统的花费；提高工程进度和预算的一致性；选择适宜的承包者。发起者国防部；国家平安局。SSE-CMM工程开展1993年4月开始酝量，1996年10月出版了SSE-CMM模型的第一个版本，1997年4月出版了评定方法的第一个版本。1999年4月出版了第二版。正在申报国际标准。测评中心于1999年4月将第二版翻译成中文。SSE-CMM工程组织指导委员会制定组织应用组织关键评审人行业评审人工程主任能力方面GenericPractices能力方面CommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPractices通用实施能力级别CommonFeatures公共特征增强执行任何过程能力的实现和制度化实施一组实施列出管理和制度化过程的相同方面共同工作的一组公共特征主要增强执行一个过程的能力能力级别能力级别１――非正式执行公共特征执行根本实施能力级别２――方案与跟踪公共特征方案执行标准化执行验证执行跟踪执行能力级别３――充分定义公共特征定义标准过程执行已定义的过程协调平安实施能力级别４――定量控制公共特征建立可测的质量目标客观地管理过程的执行能力级别５――连续改进公共特征改进组织能力改进过程的有效性方案执行标准化执行跟踪执行定义标准过程协调平安实施建立可测量的质量目标客观地管理过程的执行改进过程的有效性1非正式执行2方案与跟踪3充分定义4量化控制5连续改进执行根本实施验证执行执行已定义的过程改进组织能力公共特性域方面BasePracticesProcessAreas

过程类ProcessAreasBasePractices域方面BasePracticesBasePracticesBasePractices根底实施ProcessAreas过程区工程和平安实施是平安工程过程中必须存在的性质，指出特殊过程区的目的并属于该过程区每个过程区〔PA〕是一组相关平安工程过程的性质，当这些性质全部实施后那么能够到达过程区定义的目的。一组过程区指出活动的同一通用区SSE-CMM过程区〔PA〕管理平安控制评估影响监视影响评估威胁评估脆弱性建立保证论据协调平安监视平安态势提供平安输入指定平安要求验证和证实平安质量保证管理配置管理工程风险监控技术活动规划技术活动定义组织的系统工程过程改进组织的系统工程过程管理产品系列进化管理系统工程支持环境提供不断开展的技术和知识与供给商协调平安工程平安工程分三个根本过程：风险、工程和保证风险过程是要确定产品或者系统的危险性，并对这些危险性进行优先级排序工程过程是针对面临的危险性，平安工程过程与相关工程过程一起来确定并实施解决方案保证过程是建立起对解方案的信任，并把这种信任传达给顾客平安工程〔续〕风险工程PA：验证和证实平安证据PA:建立保证论据证据保证论据其他多个PA保证评估结果PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10012345PA01PA02PA03PA04PA05PA06PA07PA08PA09PA10能力方面GenericPracticesCommonFeaturesGenericPracticesGenericPracticesGenericPracticesGenericPractices通用实施能力级CommonFeatures公共特征域方面BasePracticesProcessAreas过程类ProcessAreasBasePracticesBasePracticesBasePracticesBasePractices基础实施ProcessAreas过程区评定方法为评定收集数据广泛、严格，每个数据有充分的证据决定实施平安工程过程的能力为评定定义了平安工程环境在评定巧妙地使用了SSE-CMM体系结构中的两个方面根底标准—ISO9000族ISO9000族23个标准GB/T6583质量管理和质量保证—术语质量管理和质量保证标准选用和实施指南GB/T19000-1第一部分：选择和使用指南GB/T19000-2第二部分：三个质量保证标准实施通用指南GB/T19000-3第三部分：GB/T19001在软件开发、供应和维护中的使用指南GB/T19000-4第四部分：可