信息技术 安全技术 信息技术安全评估准则 第2部分：安全功能要求-编制说明

一\任务来源

根据国家标准化管理委员会2012年下达的国家标准制修订计划，国家标准《信息

技术安全技术信息技术安全评估准则》由中国信息安全测评中心负责主办，标准计划

号为20120542-T-469（全国信息安全标准化技术委员会2012年信息安全专项）。

二、编制原则

1）保持与国际接轨，在跟踪分析和了解国际标准的发展情况下，积极采纳国际上

先进行的标准，吸收先进的思想。

2）提高可读性，在全面了解国际标准的精神基础上，充分汲取我们对GB/T

18336-2008版的认识，对专业技术概念进行本地化。

3）充分考虑可操作性，对安全要素的定义赋值等，充分考虑在评估和开发过程中

的可操作性。

4）CC3.1的RI、R2和R3版分别于2006年9月、2007年9月和2009年7月，

2012年9月CCDB又发布了CC3.1R4,而TSO/IEC15408:2009采纳的是CC3.1R3

版，鉴于GB/T18336是等同采用ISO的标准，为保持与国际标准同步，我们将

ISO/IEC15408:2009即CC3.1R3作为本次GB/T18336-201X的修订版。

三、主要工作过程

1）2012年10月成立了《信息技术安全技术信息技术安全评估准则》标准编写组。

2）2012年10月-2013年7月，参照ISO/IEC15408:2008对《信息技术安全技术

信息技术安全评估准则》进行修订，并在征求了北大教授王立福的意见后形成《信息技

术安全技术信息技术安全评估准则》草案（第一稿）。

3）2013年8月8日，参加安标委WG5工作组专家评审会，《信息技术安全技术信

息技术安全评估准则》草窠通过了评审。出席评审会的专家包括王立福（组长）、曲成

义、赵战生、肖京华、顾健，以及WG7秘书许玉娜。会后，根据评会专家意见进行修改

（参见标准草案稿意见汇总处理表），形成并提交《信息技术安全技术信息技术安全

评估准则》草案（第二稿）。

4）2013年8月12日至2013年8月18日，信安标委WG5工作组组织各成员单位对

标准草案进行了投票，2013年8月26日至8月30日，根据投票意见对标准草案进行了

修订，形成征求意见稿。

四、标准的主要内容

GB/T18336《信息技术安全技术信息技术安全评估准则》（等同于IS0/IEC15408）

（通常也简称通用准则一一CC）已于2001年3月正式颁布，并于2008年发布了第二版。

该标准是评估信息技术产品安全性的基础准则。IS0/IEC15408是国际标准化组织统一现

有多种评估准则努力的结果。其发展的主要阶段为：

1996年，/,、国七方（英国、加拿人、法国、德国、荷兰、美国国家安全局和美国标

准技术研究所）公布《信息技术安全性通用评估准贝!》（CC1.0版）；

1999年12月，ISO接受CC2.1为国际标准ISO/IEC15408：1999标准，并正式颁

布发行；

2005年10月，ISO通过CC2.3为国际标准IS0/1EC15408：2005标准，并正式颁

布发行；

2009年12月，ISO通过CC3.1为国际标准ISO/1EC15408：2009标准，并正式颁

布发行口

CC定义了作为评估信息技术产品安全性的基础准则，提出了目前国际上公认的表述

信息技术安全性的结构，即把安全要求分为规范产品安全行为的功能要求以及解决如何

正确有效的实施这些功能的保证要求。功能和保证要求又以“类一一族一一组件”的结

构表述，组件作为安全要求的最小构件块，可以用于“保护轮廓”、“安全目标”和“包”

的构建，例如由保证组件构成典型的包一一“评估保证级”。另外，功能组件还是连接

CC与传统安全机制和服务的桥梁，以及解决CC同已有准则如TCSEC、ITSEC的协调关系，

如功能组件构成TCSEC的各级要求。

CC特点体现在其结构的开放性、表达方式的通用性以及结构和表达方式的内在完备

性和实用性四个方面：

1.在结构的开放性方面，CC提出的安全功能要求和安全保证要求都可以在具体

的“保护轮廓”和“安全目标”中进一步细化和扩展，如可以增加“备份和恢

复”方面的功能要求或一些环境安全要求。这种开放式的结构更适应信息技术

和信息安全技术的发展。

2.通用性的特点，即给出通用的表达方式。如果用户、开发者、评估者、认可者

等目标读者都使用CC的语言，互相之间就更容易理解沟通。如用户使用CC的

语言表述自己的安全需求，开发者就可以针对性地描述产品的安全性，评估者

也更容易有效客观地进行评估，并确保评估结果对用户而言更容易理解。这种

特点对规范实用方案的编写和安全性测试评估都具有重要意义。这种特点也是

在经济全球化发展、全球信息化发展的趋势下，进行合格评定和评估结果国际

互认的需要。

3.CC的这种结构和表达方式具有内在完备性和实用性的特点，具体体现在“保

护轮廓”和“安全目标”的编制上。“保护轮廓”主要用于表达一类产品的用

户需求，在标准化体系中可以作为安全技术类标准对待。其内容主要包括：对

该类产品的界定性描述，即确定需要保护的对象；确定安全环境，即指明安全

问题一一需要保广的资产、已知的威胁、用户的组织安全策略；产品的安全目

的，即对安全问题的相应对策一一技术性和非技术性措施；信息技术安全要求,

包括功能要求、保证要求和环境安全要求，这些要求通过满足安全目的，进一

步提出具体在技术上如何解决安全问题；基本原理，指明安全要求对安全目的、

安全目的对安全环境是充分且必要的；以及附加的补充说明信息。

7

4.“保护轮廓”编制，一方面解决了技术与真实客观需求之间的内在完备性；另

一方面用户通过分析所需要的产品面临的安全问题，明确所需的安全策略，进

而确定应采取的安全措施，包括技术和管理上的措施，这样就有助于提高安全

保护的针对性、有效性。“安全目标”在“保护轮廓”的基础上，通过将安全

要求进一步针对性具体化，解决了要求的具体实现。常见的实用方案就可以当

成“安全目标”对待。通过“保护轮廓”和“安全目标”这两种结构，就便于

将CC的安全性要求具体应用到IT产品的开发、生产、测试、评估和信息系统

的集成、运行、评估、管理中。

TSO/IEC15408将使各个独立的安全评估其结果具有可比性。这通过在安全评估时，

提供一套针对信息技术(IT)产品安全功能及其保证措施的通用要求来实现。评估过程

建立一个信任级别，表明该产品的安全功能及其保证措施都满足这些要求。评估结果可

以帮助用户确定该IT产品对他们的预期应用而言是否足够安全及其使用带来的固有安

全风险是否可容忍。

第1部分：简介和一般模型，它定义了IT安全性评估的一般概念和原理，并提出

了评估的一般模型。

第2部分：安全功能要求，建立一系列功能组件，作为表述T0E功能要求的标准方

法。第2部分列出了一系列功能组件、族和类。

第3部分：安全保证要求，建立一系列保证组件，作为表述TOE保证要求的标准方

法。

与GB/T18336-2008的主要差异：

1)GB/T18336.1-201X与GB/T18336.1-2008的主要差异如下：

1、GB/T18336.1-201X增加了“2规范性引用文件”；

2、GB/T18336.1-201X“3术语和定义”中增加了“3.2与ADV类相关的术语和定

义”、“3.3与AGD类相关的术语和定义”、“3.4与ALC类相关的术语和定义”、

“3.5与AVA类相关的术语和定义”、“3.6与ACO类相关的术语和定义”；

3、GB/T18336.1-201X“5概述”中增加了“5.1TOE”；

4、GB/T18336.1-201X中将本标准适用的“IT产品和系统”改为“IT产品”；

5、GB/T18336.1-2008中的“5.1安全相关要素”、“5.2GB/T18336方法”调整

为本部分的“6.2资产和对策”、“6.3评估”；

6、删除了GB/T18336.1-2008的“5.3安全概念”；

7、GB/T18336.1-2008中的“5.4.1安全要求的表达”调整为本部分的“7剪裁安

全要求”；

8、删除了GB/T18336.1-2008的“5.4.2评估类型”；

9、GB/T18336.1-201X增加了“8保护轮廓和包”；

10、GB/T18336.1-2008中的“6GB/T18336要求和评估结果”调整为本部分的

“9评估结果”；

11、GB/T18336.1-2008中的“附录A保护轮廓规范”调整为本部分的“附录B

保护轮廓规范”，并增加了“B.11低保障的保护轮廓”、“B.12在PP中引用

7

“低层设计(ADVJ1D)”、“表示对应性(ADV_RCR)”；

15、GB/T18336.3-201X“ADV类：开发”中增加了“安全架构(ADV_ARC)”、

“TOE设计(ADV_TDS)”；

16、GB/T18336.3-2008中AGD类的“管理员指南(AGD_ADM)”和“用户指南

(AGDJJSR)”调整为本部分的“操作用户指南(AGD_OPE)”和“准备程序(AGD_PRE)”；

17、GB/T18336.3-2008中将ACM类的“CM能力(ACM.CAP)”、“CM范围(ACM_SCP)”,

ADO类的“交付(ADO_DEL)”合到了ALC类中；

18、删除了GB/T13336.3-2008“ACM类:配置管理”中的“CM自动化(ACMAUT)”；

19、删除了GB/T18336.3-2008”ADO类：交付和运行”中的“安装、生成和启

动(ADO」GS)”；

20、GB/T18336.3-2008中将“测试覆盖(ATE_COV)”改为“覆盖(ATE_C0V)”，

将“测试深度(ATE_DPT)”改为“深度(ATE.DPT)”；

21、删除了GB/T18336.3-2008“AVA类:脆弱性评定”中的“隐蔽信道分析

(AVA_CCA)”、“误用(AVAJISU)”、“TOE安全功能强度(AVASOF)”；

22、GB/T18336.3-2008中将“脆弱性分析(AVA_VLA)”改为“脆弱性分析

(AVAVAN)”；

23、GB/T18336.3-201X增加了“16ACO类:组合”；

24、GB/T18336.3-201X增加了“附录A开发(ADV)”、“附录B组合(ACO)”、

“附录DPP和保障组件的交叉引用”、“附录FCAP和保障组件的交叉引用”；

25、