信息安全技术-信息系统安全保障通用评估方法.pdf

《信息安全技术-信息系统安全保障通用评估方法.pdf》由会员分享，可在线阅读，更多相关《信息安全技术-信息系统安全保障通用评估方法.pdf（144页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术信息系统安全保障通用评估方法Information security technologyCommon methodology for information systems security assurance evaluation目 次1 范 围.12规范性引用文件.13术语和定义.14符号和缩略语.35 约 定.35.1 行文方式.45.2动词用法.46概 述.46.1 GB/T 20274和本标准结构之间的关系.46.2评估原则.46.2.1 客观性和公正性.46.2.2 经济性和可重用性.46.2.3 可重复性和可再现性.46.2.4 结果准确性.46.3 评估裁决.57

2、通用评估模型.57.1引言.57.2 评估工作概述.67.3 评估输入任务.67.3.1 目的.67.3.2 评估证据的管理.67.4 评估活动.77.5评估输出任务.77.5.1 目的.77.5.2编写测试/核查报告.77.5.3 编写评估报告.78信息系统保护轮廓评估.108.1 引言.118.2 目的.118.3 信息系统保护轮廓评估相关要求.118.4 信息系统保护轮廓评估活动.118.4.1信息系统保护轮廓引言的评估.118.4.2信息系统描述的评估.128.4.3 安全环境的评估.138.4.4 安全保障目的的评估.158.4.5 安全保障要求的评估.158.4.6 符合性声明的评

3、估.189信息系统安全目标评估.209.1引言.209.2 目的.209.3 信息系统安全目标评估相关要求.219.4 信息系统安全目标评估活动.219.4.1 信息系统安全目标引言的评估.219.4.2信息系统描述的评估.229.4.3 安全环境的评估.249.4.4 安全保障目的的评估.259.4.5安全保障要求的评估.269.4.6 TOE概要规范的评估.289.4.7 ISPP声明的评估.309.4.8 符合性声明的评估.301 0 信息系统安全保障措施评估.3410.1信息系统安全技术保障措施评估.3410.1.1 引言.3410.1.2 目的.3410.1.3 安全审计.3410.

4、1.4 通 信.3810.1.5 密码支持.4010.1.6 用户数据保护.4110.1.7 标识和鉴别.5010.1.8 安全管理.5410.1.9 隐 私.5810.1.10 TSF 保护.6110.1.11 资源利用.7010.1.12 TOE 访问.7210.1.1 3 可信路径/信道.7510.2信息系统安全管理保障措施评估.7610.2.1 引言.7610.2.2 目的.7710.2.3风险管理评估活动.7710.2.4信息安全策略评估活动.7910.2.5信息安全组织机构评估活动.8010.2.6 人员安全评估活动.8310.2.7资产管理评估活动.8610.2.8物理和环境安全

5、评估活动.8810.2.9符合性管理评估活动.9210.2.1 0 信息安全规划管理评估活动.9510.2.1 1 系统开发管理评估活动.9610.2.1 2 运行管理评估活动.9910.2.1 3 业务持续性和灾难恢复管理评估活动.10910.2.14 应急响应管理评估活动.1121 0.3 信息系统安全工程保障措施评估.11410.3.1 引言.11410.3.2 目的.11410.3.3风险过程评估活动.11410.3.4 工程过程评估活动.11910.3.5保障过程评估活动.1261 1 信息系统保障级评估.12711.1 引言.12711.2 目的.1281 1.3 相互关系.1 2

6、 81 1.4 I S A L 1 （基本执行）评估活动.1 2 81 1.4.1 目的.1 2 81 1.4.2 执行过程.1 2 81 1.5 I S A L 2 （计划和跟踪级）评估活动.1 2 81 1.5.1 目的.1 2 81 1.5.2 计划执行.1 2 81 1.5.3 规范化执行.1 2 91 1.5.4 验证执行.1 3 01 1.5.5 跟踪执行.1 3 01 1.6 I S A L 3 （充分定义级）评估活动.1 3 11 1.6.1 目的.1 3 11 1.6.2 定义标准过程.1 3 11 1.6.3 执行标准过程.1 3 21 1.7 I S A L 4 （量化控

7、制级）评估活动.1 3 21 1.7.1 目的.1 3 21 1.7.2 建立可度量的质量目标.1 3 31 1.7.3 客观的管理执行.1 3 31 1.8 I S A L 5 （持续改进级）评估活动.1 3 31 1.8.1 目的.1 3 41 1.8.2 改进组织能力.1 3 41 1.8.3 改进过程有效性.1 3 4附录A （规范性附录）通用评估指南.1 3 6参考文献.1 3 7引 言本标准是G B/T20274 信息安全技术信息系统安全保障评估框架的配套指南文件。本标准描述了评估人员在使用GB/T 20274所定义的准则进行评估时需要完成的评估活动，为评估人员在具体评估活动中的评

8、估行为和活动提供指南。本标准的目标读者主要是采用GB/T 20274对信息系统进行安全性评估的评估者以及评估申请者、开发者、ISPP/ISST作者和其它对信息系统安全感兴趣的团体。本标准分为以下几个章节：第 1 章，介绍本标准的范围，说明本标准的编制目的、目标读者和适用范围等内容。第 2 至 5 章，分别说明本标准的规范性引用文件、术语和定义、符号和缩略语以及文档约定。第 6 章至第I I 章是本标准的核心部分，其内容是按照评估人员在信息系统安全保障评估过程中所要求执行的评估行为和活动来组织的。第 6 章，概述部分介绍本标准的文档结构、本标准与GB/T 20274之间的对应关系、信息系统安全保

9、障评估应具备的原则以及评估者的裁决方式。第 7 章，通用评估模型，描述执行一个评估的工作概况，包括评估输入任务、评估活动和评估输出任务3 部分内容。第 8 章，ISPP评估，详细描述了对ISPP进行评估所包含的活动，包 括 ISPP引言评估、信息系统描述的评估、安全环境的评估、安全保障目的评估、安全保障要求评估和符合性声明评估。第 9 章，ISST评估，详细描述了对ISST进行评估所包含的活动，包括ISST引言评估、信息系统描述的评估、安全环境的评估、安全保障目的评估以及安全保障要求评估、TOE概要规范评估、ISPP声明评估和符合性声明评估。第 10章，信息系统安全保障措施评估，分别从安全技术

10、、安全管理、安全工程3 个方面描述对信息系统安全保障控制措施的评估方法。第 11章，信息系统保障级评估，分别描述了 ISAL1到 ISAL5这 5 个保障级的评估方法。附录A 包含了一致性分析材料和现场核查。信息安全技术信息系统安全保障通用评估方法1范围本标准规定了利用GB/T 20274所定义的规范进行信息系统安全评估时，评估人员应执行的基本评估行为集合。本标准的目标读者主要是应用GB/T 20274和ISPP/ISST进行信息系统安全评估的评估者、评估申请者，信息系统开发者、ISPP/ISST编制者。2规范性引用文件卜列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版

11、本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20274.1-2006信息安全技术一般模型GB/T 20274.2-2008信息安全技术障GB/T 20274.3-2008信息安全技术障GB/T 20274.4-2008信息安全技术障信息系统安全保障评估框架信息系统安全保障评估框架信息系统安全保障评估框架信息系统安全保障评估框架第 1 部分：简介和第 2 部分：技术保第 3 部分：管理保第 4 部分：工程保3术语和定义本部分的术语只包括标准中以特殊含义使用的术语。3.1评估行为 evalution act i on与 GB/T 20274.2-2

12、008s GB/T 20274.3-2008 和 GB/T 20274.4-2008 中保障子类相对应，并根据保障子类中的要求定义相应的评估行为要求。3.2活动 activity与 GB/T 20274.2-2008,GB/T 20274.3-2008 和 GB/T 20274.4-2008 中保障类相对应，并根据保障类中的要求定义相应的评估活动要求。3.3核查 check评估者采用简单比较形成一个裁决。使用此动词的语句描述了需要核查的内容。3.4评估交付件 e v a I u t i o n d e I i v e r a b I e评估者为执行一个或多个评估活动所必需的，来自申请者或开发者

13、的任何资源。3.5评估证据 e v a I u a t i o n e v i d e n c e有形的评估交付件。3.6评估报告 e v a l u a t i o n t e c h n i c a l r e p o r t由评估者编写的以文档形式记录总体裁决及其理由的报告。3.7检查 e x a m i n a t i o n评估者采用专业技能分析形成一个裁决。使用此动词的语句表明哪些是需要分析的以及什么样的性质需要分析。3.8解释 i n t e r p r e t a t i o n对标准内容的一种澄清或详述。3.9方法论 m e t h o d o l o g y用于安全评估的原

14、则、程序和过程。3.10总体裁决 o v e r a l l v e r d i c t评估者关于评估结果是通过还是不通过的决定。3.11记录 r e c o r d足够详细地记载程序、事件、观察结果、所了解事项和结果的一个书面描述，以使得评估过程中执行的工作能够在以后重建。3.12报告 r e p o r t i n g将评估结果和支持性材料编写到评估报告或测试/核查报告中。3.13体 制 scheme由评估机构制定的执行评估行为的一套准则、规范和方法。3.14测试 te st i ng通过对评估对象按照预定的方法/工具使其产生特定的行为，获取证据以证明被测对象安全保障措施是否有效的一种方法

15、。3.15评 估 对 象 TOE本标准中的评估对象指信息系统，是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员等的总和。3.16裁决 verdict评估者发布一个关于工作单元、评估行为或评估活动是通过,不通过，还是待定的决定。3.17工 作 单 元 work unit评估工作的最基本行为，与 GB/T 20274.2-2008、GB/T 20274.3-2008 和 GB/T 20274.4-2008保障组件有关。每个评估行为由一个或多个工作单元组成，这些工作单元又按保障组件进行分组。4符号和缩略语以下缩略语在本标准中通用：ISAL信息系统保障级Information

16、 System Assurance LevelIT信息技术Information TechnologyISPP信息系统保护轮廓Information System Protection ProfileSF安全功能Security FunctionSFP安全功能策略Security Function PolicySOF功能强度Strength of FunctionISST信息系统安全目标Information System Security TargetTOE评估对象Target of EvaluationTSCTSF控制范围TSF Scope of ControlTSFTOE安全功能TOE

17、Security FunctionsTSPTOE安全策略TOE Security Policy5约定5.1行 文方式对于GB/T 20274中的每个组件，本标准引入了工作单元，工作单元标识符由工作单元序号和相应的组件的标识符组成。例如，工作单元I：FAU_ARP.l表明该工作单元为评估者在相关评估行为中的第一个工作单元，对应的GB/T 20274中组件标识符为FAU_ARP.15.2动 词用法在所有工作单元和任务动词前都加有“应（该）”，且动词和 应（该）”均以粗斜体表示。只有在这些工作单元和任务中才能使用助动词“应（该”，这些工作单元和任务中包含评估者为做出裁定必须执行的强制活动。动词者暨、

18、检查、报告、记录、潮试在本标准中有特殊含义，它们的定义应参照术语表。6概述6.1 GB/T 20274和本标准结构之间的关系GB/T 20274结构和本标准结构之间有直接的关系，图1表明GB/T20274类、子类、组件的结构与本标准活动、评估行为和工作单元之间的对应关系。GB/T 20274 通用评估方法图1图1 GB/T 20274和本标准结构之间的对应关系6.2评估原则6.2.1客观性和公正性虽然评估工作不能完全摆脱个人主张或判断，但评估人员不应当具有偏见，把任何偏见减少到最小主观判断的水平，按照评估双方相互认可的评估体制，基于明确定义的评估方式和解释，实施评估活动。6.2.2经济性和可重

19、用性出于评估成本和工作复杂性的考虑，鼓励评估工作重用以前的评估结果。所有重用的结果，都应基于结果适用于目前的系统并且能够反映出目前系统的安全状态基础之上。6.2.3可重复性和可再现性不论谁执行评估，依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。6.2.4结果准确性评估所产生的结果应当证明是良好的判断和对评估活动的正确理解。评估过程和结果应当服从正确的评估方法以确保其满足了评估活动的要求。6.3 评估裁决评估者根据GB/T 20274以及依据其产生的IS

20、PP和 ISST的要求而不是本标准的要求给予裁决，给予裁决的最小结构是组件。作为执行相应评估行为及其组成工作单元的结果，每个适用的G B 20274组件都会被赋予一个裁决。在规范的评估中，本标准认可三种裁决结果：裁决结果为“通过”，如果评估者完成了本标准评估工作单元并确定关于经受评估的ISPP、ISST或 TOE的要求都已满足；裁决结果为“待定”，如果评估者未完成本标准评估工作单元；裁决结果为“不通过”，如果评估者完成了本标准评估工作单元并确定关于经受评估的ISPP、ISST或 TOE的要求未满足。当且仅当所有工作单元裁决都为“通过”，总体裁决才为“通过”。在图2 所示的示例中，如果一个评估工

21、作单元的裁决为“不通过”，则相应评估行为、评估活动的裁决和最终裁决都 为“不通过”。图2 图 2 裁决规则示例7通用评估模型7.1引言所有的评估活动，包括ISPP评估、ISST评估和TOE评估，都有输入任务和输出任务，它们与评估证据的管理和评估报告的生成有关。同时，每项任务又关系到一些评估活动，这些评估活动是标准化的，应用于ISPP评估、ISST评估和TOE评估。本标准将描述ISPP评估、ISST评估和TOE评估三种类型及评估活动。7.2 评估工作概述一般地，一个评估工作应包括：评估输入任务、评估活动和评估输出任务3个部分内容，如图3所示。评估输入任务是评估人员在接收到评估证据之后，进行的评估

22、证据管理。评估证据可以随着评估类型的不同而变化。评估活动包括ISPP评估、ISST评估和TO E评估三种类型。评估输出任务产生评估结果，评估结果可以是评估报告或测试/核查报告。评估输入任务图3图3通用评估模型评估输出任务7.3 评估输入任务7.3.1目的本节的目的是确保评估者有正确版本的评估证据，并且证据得到了充分地保护。否则,就不能保证评估的准确性，也不能保证评估结果是可重复和可再现的。7.3.2评估证据的管理7.3.2.1配置控制评估者应执行评估证据的配置控制。在收到每项评估证据后,能够对其进行标识和定位,并且能够确定评估者是否拥有文档的特定版本。当评估者持有评估证据时，评估者应保护评估证

23、据，防止证据被变更或丢失。7.3.2.2证据处置在完成总体裁决后，对评估证据的处置应当用以下一个或几个方法来进行：a）归还评估证据；b）存档评估证据；c）销毁评估证据。7.3.2.3保密性在评估过程中，评估者可能接触到申请者和开发者的一些商业性敏感信息（例 如TOE设计信息、专门工具），还可能接触到一些政府敏感信息。评估者应维护评估证据的保密性。申请者和评估者可以互相协商一些附加要求（例如保密协议），只要这些要求和该评估体制协调一致。保密性要求可能会影响评估工作的许多方面，包括对评估证据的接收、处理、存储和处置。7.4 评估活动评估活动是评估者根据评估证据判断信息系统是否满足信息系统安全保障措

24、施要求和安全保障级要求的一系列活动。本标准的第8 章介绍了执行ISPP评估必需的评估活动；第9 章介绍了 了执行ISST评估必需的评估活动；第 10章介绍了对安全保障措施评估所需的评估活动；第 11章介绍了评估ISAL1至 ISAL5所需的评估活动。7.5 评估输出任务7.5.1目的评估者应执行以下两个任务：a）编写测试/核查报告（根据评估工作需要）；b）编写评估报告。评估活动可能还需要额外的评估报告。本标准只规定了报告所需最少的内容，并不排除在这些报告中加入其它附加信息。7.5.2 编写测试/核查报告测试/核查报告为评估者提供证据，用来澄清或识别评估中的某些问题。测试/核查报告应包含以下信息

25、：a）被评估的ISPP/ISST或 TOE的标识；b）在哪一个评估任务/活动期间产生了测试/核查项：c）测试/核查的方法与内容；d）问题严重程度估计；e）整改建议。测试/核查报告的预期读者和处理报告的程序取决于报告内容的性质和评估体制。评估体制可根据所要求的信息和分发的不同，区分测试/核查报告的不同类型，或者定义附加类型。7.5.3 编写评估报告7.5.3,1 目的评估者应该提供评估报告，用来描述总体裁决的依据。本标准定义了评估报告的最少内容要求，但评估体制可以提出附加的内容、特定的陈述和结构要求。例如，可以要求评估报告中包含某些介绍性材料（例如免责声明和版权声明条款）。7.5.3.2 ISP

26、P/ISST 评估报告本节描述ISPP/ISST评估报告所需要的最少内容，ISPP/ISST评估报告的内容如图4 所示；在构建评估报告文档的结构大纲时，该图可以用作指南。图4图 4 ISPP/ISST评估报告信息内容7.5.3.2.1 引言评估者应梃告评估体制的标识符。评估体制标识符（例如标志）是明确地标识负责评估机构的信息。评估者应技告评估报告的配置控制标识符。评估报告的配置控制标识符包含标识评估报告的信息（例如名称、日期、版本号）。评估者应状告ISPP/ISST配置控制标识符（例如名称、日期、版本号），以标识出哪一个 ISPP/ISST正在被评估。评估者应褥告开发者的身份，以标识出谁负责产

27、生该ISPP/ISST。评估者应炭告申请者的身份，以标识出谁负责向评估者提供评估证据。评估者应担告评估者的身份，以标识出谁执行评估并且对评估裁决负责。7.5.3.2.2评估方法评估者应浅告所使用的评估方法、技术、工具和标准。评估者可以注明在评估ISPP/ISST时所使用的评估准则、方法和解释。评估者应求告所有对评估结果有影响的假设和限制。评估者可在报告中加入与法律法规、组织机构、保密性等相关的信息。7.5.3.2.3评估结果评估者应针对组成ISPP评估活动中的每个评估行为，给出所做的裁决结果和支持裁决结果的基本原理，作为执行相应评估行为和评估活动的结果。基本原理应使用GB/T 20274、本标

28、准、解释和已确认过的评估证据来证明评估裁决是正确的，并指出评估证据如何满足或不满足评估标准的每个方面。基本原理包括对所做工作、所使用方法以及结果推导的描述。基本原理可以详细到评估方法工作单元（组件）的程度。7.5.3.2.4 结论和建议评估者应疲告评估的结论。评估者应提供一些对申请者、开发者可能有用的建议。这些建议可以包括在评估期间发现的ISPP的缺陷。7.5.3.2.5评估证据列表评估者应求告每项评估证据的以下信息：a）评估证据提供者（例如开发者、申请者）；b）标题；c）唯一索引（例如发布日期、版本号）。7.5.3.2.6缩略语/术语表评估者应掰告评估报告中所使用的所有缩略语或缩写词。已由G

29、B/T 20274或本标准定义的术语在评估报告中不需要重复。7.5.3.3 T0E评估报告本节描述TO E评估报告所需要的最少内容。TO E评估报告的内容如图5所示；在构建评估报告文档的结构大纲时，该图可以用作指南。图5 图5 TOE评估报告信息内容7.5.3.3.1 引言评估者应报告评估体制的标识符（例如标志），以明确地标识负责评估机构的信息。评估者应检告评估报告的配置控制标识符，包含有标识评估报告的信息（例如名称、日期和版本号）。评估者应投告TO E配置控制标识符，以标识出哪些正在被评估。如果ISST声明TO E遵从一个或几个ISPP的要求，则评估报告应声明所遵从的ISPP。ISPP引言中

30、应含有能唯一地标识出ISPP的 信 息（例如标题、日期、版本号）。评估者应报告开发者的身份，以标识出谁负责产生该TOE。评估者应检告申请者的身份，以标识出谁负责向评估者提供评估证据。评估者应叔告评估者的身份，以标识出谁执行评估并且对评估裁决负责。7.5.3.3.2 TOE 描述评 估 者 砌?若TO E描述，包括信息系统描述、信息系统技术、管理和业务体系的详细描述。7.5.3.3.3评估方法评估者应炭告所使用的评估方法、技术、工具和标准。评估者可以注明在评估T O E时所使用的评估准则、方法和解释，注明在执行测试时所使用的设备。评估者应扳告所有对评估结果有影响的假设和限制。评估者可在报告中加入

31、与法律法规、组织机构、保密性等相关的信息。7.5.3.3.4评估结果对于每个TO E评估活动，评估者应报告：a）评估活动名称；b）对组成该活动的每个评估行为所做的裁决和支持性基本原理,作为执行相应评估行为及其组成工作单元的结果。基本原理应使用GB/T 20274.本标准、任何解释和已检查过的评估证据来证明评估裁决是正确的，并指出证据如何满足准则的每个方面或者为什么没有满足准则要求。基本原理包括对所做工作、所使用方法以及结果推导等的描述。基本原理可以详细到评估方法工作单元这种程度。评估者应我告工作单元明确需要的所有信息。7.5.3.3.5 结论和建议评估者应根告评估的结论，评估结论将涉及判定TO

32、 E是否已经满足其相关ISST评估者应提供一些对申请者、开发者可能有用的建议。这些建议可以包括在评估期间发现的信息系统的缺陷。7.5.3.3.6评估证据列表评估者应报告每项评估证据的以下信息：a）评估证据提供者（例如开发者、申请者）；b）标题；c）唯一索引（例如发布日期、版本号）。7.5.3.3.7缩略语/术语表评 估 者 砌?告评估报告中所使用的所有缩略语或缩写词。已由GB/T 20274或本标准定义的术语在评估报告中不需要重复。7.5.3.3.8测试/核查报告评估者应掰告在评估期间产生的并能够唯一标识测试/核查报告及其状态的完整列表。该列表应包含测试/核查报告的标识符、标题或其内容的摘要。

33、8信息系统保护轮廓评估8.1 引言本章介绍ISPP评估。每一个ISPP评估的要求和方法都是相同的，不考虑ISPP中提出的 ISAL8.2 目的本章所述的评估方法建立在GB/T 20274.1-2006附录A 中 ISPP内容的基础上。ISPP定义了某种类型信息系统与实现无关的一组系统级安全保障要求。在 ISPP的描述中，应确定其安全保障要求。安全保障要求应能执行已定义的组织安全策略，并能对抗限定前提下确定的安全威胁。ISPP的评估是为了确定ISPP是否是：a）完备的：安全要求应能对抗每个被确定的安全威胁，并实现所有的组织安全策略；b）合理的：针对被确定的安全威胁和组织安全策略，所述安全保障要求

34、是合适的；c）连贯的：ISPP应该是连贯的；d）一致的：ISPP应该是内在一致的。8.3信息系统保护轮廓评估相关要求完备的ISPP评估应包括以下活动：a）评估输入任务；b）ISPP评估活动，包含以下活动：1）ISPP引言的评估；2）安全环境的评估；3）信息系统描述的评估；4）安全保障目的的评估；5）安全保障要求的评估；6）符合性声明的评估。c）评估输出任务第七章描述了评估输入任务和评估输出任务。8.4信息系统保护轮廓评估活动8.4.1 信息系统保护轮廓引言的评估8.4.1.1 目的本节的目的是确定ISPP引言是否完整并与ISPP的其它部分是否保持一致，以及是否正确标识了 ISPP。8.4.1.

35、2 输入ISPP文档。8.4.1.3 评估行为工作单元1：ISPP标识评估者及 拨 查 ISPP引言，是否提供了必要的标识信息以识别、注册和交叉引用ISPPo评估者应确定ISPP标识信息包括：a）控制和唯一标识ISPP的必要信息（例如ISPP标题、版本号、出版日期、作者和申请机构）；b）用于开发ISPP的 GB/T 20274版本信息；c）注册信息，如果ISPP在评估前已注册；d）交叉引用，如果ISPP与其它ISPP（s）有关联；e）评估体制要求的其它信息。工作单元2：ISPP概述评估者应核查ISPP引言，是否以叙述形式提供了 ISPP概述。ISPP概述应为ISPP内容提供概要描述（更详细的描

36、述在信息系统描述中提供），且应详细到能使ISPP的使用者确定ISPP是否是他所需要的。工作单元3：连贯性评 估 者 短 婶 ISPP引言，以确定它是连贯的。如果ISPP引言的正文和陈述结构能为其目标读者理解，那么ISPP引言就是连贯的。工作单元4：一致性a）评 估 者 碎 道 ISPP引言，以确定它是内在一致的。ISPP概述应为ISPP内容提供概要描述，因此有关内在一致性分析会集中在ISPP概述上。一致性分析指南见附录A.lb）评估者应助查ISPP引言，以确定ISPP引言与ISPP的其它部分是一致的。评估者应确定ISPP概述提供了 TOE描述的精确概括。评估者特别应确定ISPP概述与信息系统描

37、述是一致的，且没有陈述或暗示存在评估范围之外的安全特征。评估者还应确定GB/T 20274 一致性声明与ISPP的其它部分一致。一致性分析指南见附录A.lo8.4.2 信息系统描述的评估8.4.2.1 目的本节的目的是确定信息系统描述是否包含了有助于理解TOE的相关信息，确定该描述是否是完备的和一致的。ISPP中的信息系统描述部分可以帮助了解评估对象的安全保障要求。在信息系统安全保障评估框架中，评估对象是信息系统整体或信息系统技术、工程和管理领域。无论是信息系统整体还是信息系统某一领域，在评估对象描述中都必须先给出整个信息系统的完整描述，然后再对评估对象作进一步描述。评估对象的描述提供了用于评

38、估的背景。在评估对象描述中给出的信息将用于在评估过程中识别不一致的地方。由于一般不指明特定的实现，因此描述的评估对象特性可能是假设的。评估对象描述的具体内容可参考GB/T20274.1的附录内容。8.4.2.2 输入ISPP文档。8.4.2.3评估行为工作单元1：系统使命描述评估者应 勘 查 信 息系统描述，以确定它描述了信息系统的使命。工作单元2：信息系统概述评估者应检查信息系统描述，以确定它对信息系统进行了整体描述。a）评估者应确定信息系统描述是否给出了对信息系统的标识的描述；b）评估者应确定信息系统描述是否给出了对信息系统环境的描述；c）评估者应确定信息系统描述是否给出了对信息系统评估边

39、界和接口的描述；d）评估者应确定信息系统描述是否给出了信息系统安全域的描述。工作单元3：信息系统详细描述评估者应 磁 定 信 息系统描述是否对包含在信息系统中的评估对象进行了进一步描述。a）评估者应确定信息系统描述中是否包含了对信息系统技术体系的描述,应检查信息系统描述中是否包含对信息系统适用的技术标准、网络基础设施、技术应用等方面的描述；b）评估者应确定信息系统描述中是否包含了对信息系统管理体系的描述,应检查信息系统描述中是否包含对组织机构、管理制度及法规、系统资产等方面的描述；c）评估者应检查信息系统描述中是否包含了对信息系统业务体系的描述，应检查信息系统描述中是否包含对主要业务应用、业务

40、流程和业务信息流等方面的描述。工作单元4：连贯性评估者应检查IS P P,以确定信息系统描述是连贯的。如果信息系统描述的陈述结构和正文能为TOE的目标读者（即评估者和用户）理解的话，信息系统描述就是连贯的。工作单元5：一致性a）评估者应 检 查 IS P P,以确定TOE的描述是内在一致的。提醒评估者注意的是，ISPP的这一节仅用于定义TOE的一般目的。一致性分析指南见附录A.1。b）评估者应检查IS P P,以确定信息系统描述与ISPP的其它部分是一致的。评估者尤其应确定信息系统描述不包括那些评估范围以外的安全威胁、安全特征或 TOE的配置。一致性分析指南见附录A.1。8.4.3 安全环境的

41、评估8.4.3.1 目的本节的目的是确定在ISPP中安全环境的陈述是否为有关TO E及其预期应用环境的安全问题提供了清晰、一致的定义。8.4.3.2 输入ISPP文档。8.4.3.3评估行为工作单元1：假设评估者应检查安全环境的陈述，以确定它标明并解释了所有假设。这些假设可以分成TOE预期使用方面的假设和TOE使用环境方面的假设。a）评估者应确定TOE预期使用的假设阐明了 TOE预期使用的各个方面，如：TOE预期应用，需要TOE保护的资产的潜在价值，以及使用TOE可能存在的限制。b）评估者应确定ISPP中对TOE预期使用的所有假设都进行了详细解释，以保证用户确定其预期使用与这些假设相匹配。评估

42、者确定TOE使用环境的假设包括物理、人员、连接性方面：1）物理方面：包括为了使TOE以安全方式行使其功能，而对TOE的物理位置或附加的外围设施而做的所有假设。例如：假设管理员控制台严格限制在管理员个人范围内；假设TOE所有文件的存储只能在TOE运行的工作站上进行。2）人员方面：包括为了使TOE以安全方式行使其功能，而对在安全环境内的用户和TOE管理员，或其他个人（包括具有潜在威胁的主体）所做的所有假设。例如：假设用户具有特殊技能或专门技术；或用户具有确定的最小权限；管理员每月更新防病毒数据库。3）连接性方面：包括为了使TOE以安全方式行使其功能，而对TOE与其它信息系统或产品（硬件、软件、固件

43、或它们的组合）之间连接的所有假设。例如：假设存储TOE产生的日志文件至少需要100MB的外部磁盘空间；假设TOE是在特定工作站上运行的唯一的非操作系统应用程序；假设TOE的软驱是禁用的；假设TOE不会连接到任何不可信的网络。工作单元2：威胁评估者应痛定TOE使用环境的所有假设都得到详细的解释，使用户能够确定他们的预期环境与假设环境相匹配。a）如果没有清楚地理解这些假设，最终可能导致TOE在不能安全行使其功能的环境中使用。评估者应检查安全环境的陈述，以确定所有威胁都被标识并得以解释。b）如果TOE和其环境安全目的只源于组织的安全策略和假设，那么ISPP中就可以不含安全威胁陈述，如果ISPP不包括

44、安全威胁陈述，则该工作单元不适用，并视为满足。c）评估者应确定所有已标识的安全威胁都用已标识安全威胁主体、攻击和攻击的资产的术语进行了清楚的解释。d）评估者还应确定安全威胁主体可在专业技术、可用资源和动机等方面具有表征，攻击可在攻击方法、可利用的脆弱性和时机等方面具有表征。工作单元3：组织安全策略评估者应 捡 置 安 全环境陈述，以确定它标识并解释了所有组织安全策略。如果TOE及其环境的安全目的只源于假设和威胁，那么ISPP中就可以不包含组织安全策略。如果ISPP中不包含组织安全策略陈述，则该工作单元不适用，并视为满足。a）评估者应确定组织安全策略陈述是否遵循TOE及其环境的必须遵守的规则、惯

45、例或指南，这些规则、惯例或指南是由控制TOE使用环境的组织制定的。例如，组织安全策略可能要求口令生成和加密应符合国家政府制定的标准.b）评估者应确定ISPP中对所有组织安全策略都进行了详细解释，以便读者能够清晰的理解以及在允许跟踪安全目的时，必须对安全策略进行清楚表述。工作单元4：连贯性评估者脑吃杳安全环境的陈述，以确定它是连贯的。如果安全环境描述的结构和正文能为 TOE的目标读者（即评估者和用户）理解的话，安全环境描述就是连贯的。工作单元5：一致性评估者应检若安全环境的表述，以确定它是内在一致的。表征安全环境内在不一致性的示例：a）安全环境的表述包含这样一种威胁，其攻击方法不在威胁主体的能力

46、范围内；b）安全环境的表述包含“TO E不与因特网相连”这样的组织安全策略，和其威胁主体是来自因特网的入侵者的威胁。一致性分析指南见附录A.U8.4.4安全保障目的的评估8.4.4.1 目的本节的目的是确定安全目的描述是否完整和一致，并确定安全目的是否能对抗已标识的威胁，达到确定的组织安全策略并遵循规定的假设。8.4.4.2 输入ISPP文档。8.4.4.3评估行为工作单元1：安全环境评估者应 超 着安全保障目的陈述，确认其是否定义了 TO E及其环境的安全保障目的。评估者应确定是否明确地说明每个安全保障目的的适用对象。工作单元2：连贯性评估者应检者安全保障目的的表述，以确定它是连贯的。如果安

47、全保障目的的正文和陈述结构能为其目标读者（如评估者和用户）所理解，那么安全保障目的的表述就是连贯的。工作单元3：完备性评估者应 检 咨 安全保障目的的表述，以确定它是完备的。如果安全保障目的足以对抗所有己标识的安全威胁，并能覆盖所有已标识的组织安全策略和假设，那么安全保障目的是完备的。工作单元4：一致性评估者应 检 誉 安全保障目的的表述，以确定它是内在一致的。如果安全保障目的之间不相冲突，安全保障目的表述就是内在一致的。有这样一个冲突的例子：两个安全保障目的，一个是“用户身份信息永远不会被发布“，另一个则是“其它用户可以获得该用户的身份信息”。一致性分析指南见附录A.lo8.4.5安全保障要

48、求的评估8.4.5.1 目的本节的目的是确定安全保障要求（包括信息系统安全保障技术要求、信息系统安全保障管理要求、信息系统安全保障工程要求）是否完整和一致，并为信息系统的建设提供充分的依据，以达到其安全保障目的。8.4.5.2 输入ISPP文档。8.4.5.3评估行为工作单元1:概要描述评估者应核查安全保障要求的叙述，是否给出了信息系统整体的安全保障要求的概要性描述；工作单元2：安全技术保障要求a）评估者磨旋查安全技术保障要求的叙述，是否标识了从GB/T20274.2-2008安全技术保障要求组件中抽取的那些安全技术组件和安全技术能力成熟度要求。评估者应确定从GBfT20274.2-2008安

49、全技术保障要求组件中抽取的所有安全技术保障要求以及安全技术能力成熟度要求是否都已明确标识。b）评估者应核杳涉及到的每个TOE安全技术保障要求组件的正确性。评估者应确定GB/T 20274.2-2008是否包含文中涉及到的安全技术保障要求组件。c）评估者应核查从GB/T 20274.2-2（X）8 中抽取出的安全技术保障要求组件，在 ISPP中是否得以正确重现。评估者应确定在没有对允许操作进行检查的情况下，安全技术保障要求叙述是否正确地重现了这些要求。工作单元3：安全管理保障要求a）评估者应核杳安全管理保障要求的叙述，是否标识了从GB/T20274.3-2008安全管理保障要求组件中抽取的那些安

50、全管理组件和安全管理能力成熟度要求。评估者应确定从GB“20274.3-2008安全管理保障要求组件中抽取的所有安全管理保障要求以及安全管理能力成熟度要求是否都已明确标识。b）评估者应核查步及到的每个安全管理保障要求组件的正确性。评估者应确定GB/T 20274.3-2008是否包含文中涉及到的安全管理保障要求组件。c）评估者应就查从GB/T20274.3-2008中抽取出的安全管理保障要求组件，在 ISPP中是否得以正确重现。评估者应确定在没有对允许操作进行检查的情况下，安全管理保障要求叙述是否正确地重现了这些要求。工作单元4：安全工程保障要求a）评估者应僚直安全工程保障要求的叙述，是否标识