信息安全技术信息系统安全保障通用评估指南(GB-T 30273-2013).pdf

《信息安全技术信息系统安全保障通用评估指南(GB-T 30273-2013).pdf》由会员分享，可在线阅读，更多相关《信息安全技术信息系统安全保障通用评估指南(GB-T 30273-2013).pdf（147页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXX20XX信息安全技术信息系统安全保障通用评估方法Information security technology-common methodology for information systemssecurity assurance evaluation（报批稿）20XX-XX-XX 发布20XX-XX-XX 实施GB/T XXXXX20XXI目次1范围.12规范性引用文件.13术语和定义.14符号和缩略语.35约定.35.1行文方式.35.2动词用法.36概述.46.1GB/T202

2、74 和本标准结构之间的关系.46.2评估裁决.47通用评估模型.57.1引言.57.2评估工作概述.57.3评估输入任务.67.4评估活动.67.5评估输出任务.78信息系统保护轮廓评估.118.1引言.118.2目的.118.3信息系统保护轮廓评估相关要求.118.4信息系统保护轮廓评估活动.119信息系统安全目标评估.209.1引言.219.2目的.219.3信息系统安全目标评估相关要求.219.4信息系统安全目标评估活动.2210信息系统安全保障措施评估.3410.1信息系统安全技术保障措施评估.34本活动的输入包括：.7610.2信息系统安全管理保障措施评估.7810.3信息系统安全

3、工程保障措施评估.11711信息系统保障级评估.13011.1引言.130GB/T XXXXX20XXII11.2目的.13011.3相互关系.13111.4ISAL1（基本执行）评估活动.13111.5ISAL2（计划和跟踪级）评估活动.13111.6ISAL3（充分定义级）评估活动.13411.7ISAL4（量化控制级）评估活动.13511.8ISAL5（持续改进级）评估活动.136附录 A（规范性附录）通用评估指南.139参考文献.140GB/T XXXXX20XXIII前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提

4、出并归口。本文件某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准主要起草单位：中国信息安全测评中心、华北计算技术研究所、中国信息安全测评中心华中测评中心。本标准主要起草人：江常青、张利、佟鑫、姚轶崭、班晓芳、翁建军、王鸿娴等。GB/T XXXXX20XXIV引言本标准是 GB/T 20274 信息安全技术 信息系统安全保障评估框架的配套指南文件，描述了评估者在使用 GB/T 20274 所定义的准则进行评估时需要完成的评估活动，为评估者在具体评估活动中的评估行为和活动提供指南。GB/T XXXXX20XX1信息安全技术信息系统安全保障通用评估方法1范围本标准描述了评估者在

5、使用 GB/T 20274 所定义的准则进行评估时需要完成的评估活动，为评估者在具体评估活动中的评估行为和活动提供指南。本标准的目标读者主要是采用 GB/T 20274 对信息系统进行安全性评估的评估者以及评估申请者、开发者、ISPP/ISST 编制者。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20274.1-2006信息安全技术信息系统安全保障评估框架第 1 部分：简介和一般模型GB/T 20274.2-2008信息安全技术信息系统安全保障评估框架第 2

6、 部分：技术保障GB/T 20274.3-2008信息安全技术信息系统安全保障评估框架第 3 部分：管理保障GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第 4 部分：工程保障3术语和定义下列术语和定义适用于本文件。3.1核查核查checkcheck评估者采用简单比较形成一个裁决。使用此动词的语句描述了需要核查的内容。3.2评估交付件评估交付件 evalutionevalution deliverabledeliverable评估者为执行一个或多个评估活动所必需的，来自申请者或开发者的任何资源。3.3评估证据评估证据evaluationevaluation eviden

7、ceevidence有形的评估交付件。3.4GB/T XXXXX20XX2评估报告评估报告evaluationevaluation technicaltechnical reportreport由评估者编写的以文档形式记录总体裁决及其理由的报告。3.5检查检查examinationexamination评估者采用专业技能分析形成一个裁决。使用此动词的语句表明哪些是需要分析的以及什么样的性质需要分析。3.6解释解释interpretationinterpretation对标准内容的一种澄清或详述。3.7方法论方法论methodologymethodology用于安全评估的原则、程序和过程。3.8

8、总体裁决总体裁决o overallverall verdictverdict评估者关于评估结果是通过还是不通过的决定。3.9记录记录r recordecord足够详细地记载程序、事件、观察结果、所了解事项和结果的一个书面描述，以使得评估过程中执行的工作能够在以后重建。3.10报告报告r reportingeporting将评估结果和支持性材料编写到评估报告或测试/核查报告中。3.11体制体制 schemescheme由评估机构制定的执行评估行为的一套准则、规范和方法。3.12测试测试testingtesting通过对评估对象按照预定的方法/工具使其产生特定的行为，获取证据以证明被测对象安全保障

9、措施是否有效的一种方法。3.13GB/T XXXXX20XX3评估对象评估对象t targetarget ofof e evaluationvaluation本标准中的评估对象指信息系统，是用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员等的总和。3.14裁决裁决verdictverdict评估者发布一个关于工作单元、评估行为或评估活动是通过，不通过，还是待定的决定。3.15工作单元工作单元workwork unitunit评估工作的最基本行为，与 GB/T 20274.2-2008、GB/T 20274.3-2008 和 GB/T 20274.4-2008 保障组件有

10、关。每个评估行为由一个或多个工作单元组成，这些工作单元又按保障组件进行分组。4符号和缩略语下列缩略语适用于本文件：ISAL信息系统保障级(Information SystemAssurance Level)IT信息技术(Information Technology)ISPP信息系统保护轮廓(Information System Protection Profile)SF安全功能(Security Function)SFP安全功能策略(Security Function Policy)SOF功能强度(Strength of Function)ISST信息系统安全目标(Information Sy

11、stem Security Target)TOE评估对象(Target of Evaluation)TSCTSF 控制范围(TSF Scope of Control)TSFTOE 安全功能(TOE Security Functions)TSPTOE 安全策略(TOE Security Policy)5约定5.1行文方式对于 GB/T 20274 中的每个组件，本标准引入了工作单元与之相对应，工作单元标识符由工作单元序号和相应的组件的标识符组成。5.2动词用法在所有工作单元和任务动词前都加有“应”，且动词和“应”均以粗斜体表示。只有在这些工作单元和任务中才能使用助动词“应”，这些工作单元和任务中

12、包含评估者为做出裁定必须执行的强制活动。动词核查核查、检查检查、报告报告、记录、测试记录、测试在本标准中有特殊含义，它们的定义应参照术语表。GB/T XXXXX20XX46概述6.1GB/T 20274 和本标准结构之间的关系GB/T 20274 结构和本标准结构之间有直接的关系，图 1 表明 GB/T 20274 类、子类、组件的结构与本标准活动、评估行为和工作单元之间的对应关系。图 1GB/T 20274 和本标准结构之间的对应关系6.2评估裁决评估者根据 GB/T 20274 以及依据其产生的 ISPP 和 ISST 的要求而不是本标准的要求给予裁决，给予裁决的最小结构是组件。作为执行相

13、应评估行为及其组成工作单元的结果，每个适用的 GB/T 20274组件都会被赋予一个裁决。在规范的评估中，本标准认可三种裁决结果：裁决结果为“通过”，如果评估者完成了本标准评估工作单元并确定关于经受评估的 ISPP、ISST或 TOE 的要求都已满足；裁决结果为“待定”，如果评估者未完成本标准评估工作单元；裁决结果为“不通过”，如果评估者完成了本标准评估工作单元并确定关于经受评估的 ISPP、ISST或 TOE 的要求未满足。当且仅当所有工作单元裁决都为“通过”，总体裁决才为“通过”。在图 2 所示的示例中，如果一个评估工作单元的裁决为“不通过”，则相应评估行为、评估活动的裁决和最终裁决都为“

14、不通过”。GB/T XXXXX20XX5评估结果评估活动评估行为工作单元工作单元工作单元不通过不通过待定通过图 2裁决规则示例7通用评估模型7.1引言所有的评估活动，包括 ISPP 评估、ISST 评估和 TOE 评估，都有输入任务和输出任务，它们与评估证据的管理和评估报告的生成有关。同时，每项任务又关系到一些评估活动，这些评估活动是标准化的，应用于 ISPP 评估、ISST 评估和 TOE 评估。本标准将描述 ISPP 评估、ISST 评估和 TOE 评估三种类型及评估活动。7.2评估工作概述一般地，一个评估工作应包括：评估输入任务、评估活动和评估输出任务 3 个部分内容，如图 3所示。评估

15、输入任务是评估者在接收到评估证据之后，进行的评估证据管理。评估证据可以随着评估类型的不同而变化。评估活动包括 ISPP 评估、ISST 评估和 TOE 评估三种类型。评估输出任务产生评估结果，评估结果可以是评估报告或测试/核查报告。GB/T XXXXX20XX6评估输出任务评估活动评估输入任务评估证据评估报告图 3通用评估模型7.3评估输入任务7.3.1目的本条的目的是确保评估者有正确版本的评估证据，并且证据得到了充分地保护。否则，就不能保证评估的准确性，也不能保证评估结果是可重复和可再现的。7.3.2评估证据的管理7.3.2.1配置控制评估者应执行评估证据的配置控制。在收到每项评估证据后，能

16、够对其进行标识和定位，并且能够确定评估者是否拥有文档的特定版本。当评估者持有评估证据时，评估者应保护评估证据，防止证据被变更或丢失。7.3.2.2证据处置在完成总体裁决后，对评估证据的处置应当用以下一个或几个方法来进行：a)归还评估证据；b)存档评估证据；c)销毁评估证据。7.3.2.3保密性在评估过程中，评估者可能接触到申请者和开发者的一些商业性敏感信息（例如 TOE 设计信息、专门工具），还可能接触到一些政府敏感信息。评估者应维护评估证据的保密性。申请者和评估者可以互相协商一些附加要求（例如保密协议），只要这些要求和该评估体制协调一致。保密性要求可能会影响评估工作的许多方面，包括对评估证据

17、的接收、处理、存储和处置。7.4评估活动评估活动是评估者根据评估证据判断信息系统是否满足信息系统安全保障措施要求和安全保障级要求的一系列活动。本标准的第 8 章介绍了执行 ISPP 评估必需的评估活动；第 9 章介绍了了执行 ISST评估必需的评估活动；第 10 章介绍了对安全保障措施评估所需的评估活动；第 11 章介绍了评估 ISAL1GB/T XXXXX20XX7至 ISAL5 所需的评估活动。7.5评估输出任务7.5.1目的评估者应执行以下两个任务：a)编写测试/核查报告（根据评估工作需要）；b)编写评估报告。评估活动可能还需要额外的评估报告。本标准只规定了报告所需最少的内容，并不排除在

18、这些报告中加入其它附加信息。7.5.2编写测试/核查报告测试/核查报告为评估者提供证据，用来澄清或识别评估中的某些问题。测试/核查报告应包含以下信息：a)被评估的 ISPP/ISST 或 TOE 的标识；b)在哪一个评估任务/活动期间产生了测试/核查项；c)测试/核查的方法与内容；d)问题严重程度估计；e)整改建议。测试/核查报告的预期读者和处理报告的程序取决于报告内容的性质和评估体制。评估体制可根据所要求的信息和分发的不同，区分测试/核查报告的不同类型，或者定义附加类型。7.5.3编写评估报告7.5.3.1目的评估者应该提供评估报告，用来描述总体裁决的依据。本标准定义了评估报告的最少内容要求

19、，但评估体制可以提出附加的内容、特定的陈述和结构要求。例如，可以要求评估报告中包含某些介绍性材料（例如免责声明和版权声明条款）。7.5.3.2ISPP/ISST 评估报告本条描述 ISPP/ISST 评估报告所需要的最少内容，ISPP/ISST 评估报告的内容如图 4 所示；在构建评估报告文档的结构大纲时，该图可以用作指南。GB/T XXXXX20XX8图 4ISPP/ISST 评估报告信息内容7.5.3.2.1引言评估者应报告应报告评估体制的标识符。评估体制标识符（例如标志）是明确地标识负责评估机构的信息。评估者应报告应报告评估报告的配置控制标识符。评估报告的配置控制标识符包含标识评估报告的

20、信息（例如名称、日期、版本号）。评估者应报告应报告ISPP/ISST 配置控制标识符（例如名称、日期、版本号），以标识出哪一个 ISPP/ISST正在被评估。评估者应报告应报告开发者的身份，以标识出谁负责产生该 ISPP/ISST。评估者应报告应报告申请者的身份，以标识出谁负责向评估者提供评估证据。评估者应报告应报告评估者的身份，以标识出谁执行评估并且对评估裁决负责。7.5.3.2.2评估方法评估者应报告应报告所使用的评估方法、技术、工具和标准。评估者可以注明在评估 ISPP/ISST 时所使用的评估准则、方法和解释。评估者应报告应报告所有对评估结果有影响的假设和限制。评估者可在报告中加入与法

21、律法规、组织机构、保密性等相关的信息。7.5.3.2.3评估结果评估者应针对组成 ISPP 评估活动中的每个评估行为，给出所做的裁决结果和支持裁决结果的基本原理，作为执行相应评估行为和评估活动的结果。基本原理应使用 GB/T 20274、解释说明和已确认过的评估证据来证明评估裁决是正确的，并指出评估证据如何满足或不满足评估标准的每个方面。基本原理包括对所做工作、所使用方法以及结果推导GB/T XXXXX20XX9的描述。基本原理可以详细到评估方法工作单元（组件）的程度。7.5.3.2.4结论和建议评估者应报告应报告评估的结论。评估者应提供一些对申请者、开发者可能有用的建议。这些建议可以包括在评

22、估期间发现的 ISPP的缺陷。7.5.3.2.5评估证据列表评估者应报告应报告每项评估证据的以下信息：a)评估证据提供者（例如开发者、申请者）；b)标题；c)唯一索引（例如发布日期、版本号）。7.5.3.2.6缩略语/术语表评估者应报告应报告评估报告中所使用的所有缩略语或缩写词。已由 GB/T 20274 或本标准定义的术语在评估报告中不需要重复。7.5.3.3TOE 评估报告本条描述 TOE 评估报告所需要的最少内容。TOE 评估报告的内容如图 5 所示；在构建评估报告文档的结构大纲时，该图可以用作指南。评估报告评估报告引言TOE 描述评估方法评估结果结论和建议缩略语/术语表测试/核查报告评

23、估证据列表图 5TOE 评估报告信息内容7.5.3.3.1引言评估者应报告应报告评估体制的标识符（例如标志），以明确地标识负责评估机构的信息。评估者应报告应报告评估报告的配置控制标识符，包含有标识评估报告的信息（例如名称、日期和版本号）。GB/T XXXXX20XX10评估者应报告应报告TOE 配置控制标识符，以标识出哪些正在被评估。如果 ISST 声明 TOE 遵从一个或几个 ISPP 的要求，则评估报告应声明所遵从的 ISPP。ISPP 引言中应含有能唯一地标识出 ISPP 的信息（例如标题、日期、版本号）。评估者应报告应报告开发者的身份，以标识出谁负责产生该 TOE。评估者应报告应报告申

24、请者的身份，以标识出谁负责向评估者提供评估证据。评估者应报告应报告评估者的身份，以标识出谁执行评估并且对评估裁决负责。7.5.3.3.2TOE 描述评估者应报告应报告TOE 描述，包括信息系统描述、信息系统技术、管理和业务体系的详细描述。7.5.3.3.3评估方法评估者应报告应报告所使用的评估方法、技术、工具和标准。评估者可以注明在评估 TOE 时所使用的评估准则、方法和解释，注明在执行测试时所使用的设备。评估者应报告应报告所有对评估结果有影响的假设和限制。评估者可在报告中加入与法律法规、组织机构、保密性等相关的信息。7.5.3.3.4评估结果对于每个 TOE 评估活动，评估者应报告：a)评估

25、活动名称；b)对组成该活动的每个评估行为所做的裁决和支持性基本原理，作为执行相应评估行为及其组成工作单元的结果。基本原理应使用 GB/T 20274、解释说明和已检查过的评估证据来证明评估裁决是正确的，并指出证据如何满足准则的每个方面或者为什么没有满足准则要求。基本原理包括对所做工作、所使用方法以及结果推导等的描述。基本原理可以详细到评估方法工作单元这种程度。评估者应报告应报告工作单元明确需要的所有信息。7.5.3.3.5结论和建议评估者应报告应报告评估的结论，评估结论将涉及判定 TOE 是否已经满足其相关 ISST。评估者应提供一些对申请者、开发者可能有用的建议。这些建议可以包括在评估期间发

26、现的信息系统的缺陷。7.5.3.3.6评估证据列表评估者应报告每项评估证据的以下信息：a)评估证据提供者（例如开发者、申请者）；b)标题；c)唯一索引（例如发布日期、版本号）。7.5.3.3.7缩略语/术语表评估者应报告应报告评估报告中所使用的所有缩略语或缩写词。已由 GB/T 20274 或本标准定义的术语在评估报告中不需要重复。7.5.3.3.8测试/核查报告评估者应报告应报告在评估期间产生的并能够唯一标识测试/核查报告及其状态的完整列表。该列表应包GB/T XXXXX20XX11含测试/核查报告的标识符、标题或其内容的摘要。8信息系统保护轮廓评估8.1引言本章介绍 ISPP 评估。每一个

27、 ISPP 评估的要求和方法都是相同的，不考虑 ISPP 中提出的 ISAL。8.2目的本章所述的评估方法建立在 GB/T 20274.1-2006 附录 A 中 ISPP 内容的基础上。ISPP 定义了某种类型信息系统与实现无关的一组系统级安全保障要求。在 ISPP 的描述中，应确定其安全保障要求。安全保障要求应能执行已定义的组织安全策略，并能对抗限定前提下确定的安全威胁。ISPP 的评估是为了确定 ISPP 是否是：a)完备的：安全要求应能对抗每个被确定的安全威胁，并实现所有的组织安全策略；b)合理的：针对被确定的安全威胁和组织安全策略，所述安全保障要求是合适的；c)连贯的：ISPP 应该

28、是连贯的；d)一致的：ISPP 应该是内在一致的。8.3信息系统保护轮廓评估相关要求完备的 ISPP 评估应包括以下活动：a)评估输入任务；b)ISPP 评估活动，包含以下活动：1)ISPP 引言的评估；2)安全环境的评估；3)信息系统描述的评估；4)安全保障目的的评估；5)安全保障要求的评估；6)符合性声明的评估。c)评估输出任务第七章描述了评估输入任务和评估输出任务。8.4信息系统保护轮廓评估活动8.4.1信息系统保护轮廓引言的评估8.4.1.1目的本条的目的是确定 ISPP 引言是否完整并与 ISPP 的其它部分是否保持一致，以及是否正确标识了ISPP。8.4.1.2输入ISPP 文档。

29、8.4.1.3评估行为工作单元工作单元 1：ISPP 标识标识GB/T XXXXX20XX12评估者应核查应核查ISPP 引言，是否提供了必要的标识信息以识别、注册和交叉引用 ISPP。评估者应确定 ISPP 标识信息包括：a)控制和唯一标识 ISPP 的必要信息（例如 ISPP 标题、版本号、出版日期、作者和申请机构）；b)用于开发 ISPP 的 GB/T 20274 版本信息；c)注册信息，如果 ISPP 在评估前已注册；d)交叉引用，如果 ISPP 与其它 ISPP（s）有关联；e)评估体制要求的其它信息。工作单元工作单元 2：ISPP 概述概述评估者应核查应核查ISPP 引言，是否以叙

30、述形式提供了 ISPP 概述。ISPP 概述应为 ISPP 内容提供概要描述（更详细的描述在信息系统描述中提供），且应详细到能使ISPP 的使用者确定 ISPP 是否是他所需要的。工作单元工作单元 3：连贯性：连贯性评估者应检查应检查ISPP 引言，以确定它是连贯的。如果 ISPP 引言的正文和陈述结构能为其目标读者理解，那么 ISPP 引言就是连贯的。工作单元工作单元 4：一致性：一致性a)评估者应检查应检查ISPP 引言，以确定它是内在一致的。ISPP 概述应为 ISPP 内容提供概要描述，因此有关内在一致性分析会集中在 ISPP 概述上。一致性分析指南见附录 A.1。b)评估者应检查应检

31、查ISPP 引言，以确定 ISPP 引言与 ISPP 的其它部分是一致的。评估者应确定 ISPP 概述提供了 TOE 描述的精确概括。评估者特别应确定 ISPP 概述与信息系统描述是一致的，且没有陈述或暗示存在评估范围之外的安全特征。评估者还应确定 GB/T 20274 一致性声明与 ISPP 的其它部分一致。一致性分析指南见附录 A.1。8.4.2信息系统描述的评估8.4.2.1目的本条的目的是确定信息系统描述是否包含了有助于理解 TOE 的相关信息，确定该描述是否是完备的和一致的。ISPP 中的信息系统描述部分可以帮助了解评估对象的安全保障要求。在信息系统安全保障评估框架中，评估对象是信息

32、系统整体或信息系统技术、工程和管理领域。无论是信息系统整体还是信息系统某一领域，在评估对象描述中都必须先给出整个信息系统的完整描述，然后再对评估对象作进一步描述。评估对象的描述提供了用于评估的背景。在评估对象描述中给出的信息将用于在评估过程中识别不一致的地方。由于一般不指明特定的实现，因此描述的评估对象特性可能是假设的。评估对象描述的具体内容可参考 GB/T 20274.1 的附录内容。8.4.2.2输入ISPP 文档。8.4.2.3评估行为工作单元工作单元 1：系统使命描述：系统使命描述GB/T XXXXX20XX13评估者应检查应检查信息系统描述，以确定它描述了信息系统的使命。工作单元工作

33、单元 2：信息系统概述：信息系统概述评估者应检查应检查信息系统描述，以确定它对信息系统进行了整体描述。a)评估者应确定信息系统描述是否给出了对信息系统的标识的描述；b)评估者应确定信息系统描述是否给出了对信息系统环境的描述；c)评估者应确定信息系统描述是否给出了对信息系统评估边界和接口的描述；d)评估者应确定信息系统描述是否给出了信息系统安全域的描述。工作单元工作单元 3：信息系统详细描述：信息系统详细描述评估者应确定应确定信息系统描述是否对包含在信息系统中的评估对象进行了进一步描述。a)评估者应确定信息系统描述中是否包含了对信息系统技术体系的描述，应检查信息系统描述中是否包含对信息系统适用的

34、技术标准、网络基础设施、技术应用等方面的描述；b)评估者应确定信息系统描述中是否包含了对信息系统管理体系的描述，应检查信息系统描述中是否包含对组织机构、管理制度及法规、系统资产等方面的描述；c)评估者应检查信息系统描述中是否包含了对信息系统业务体系的描述，应检查信息系统描述中是否包含对主要业务应用、业务流程和业务信息流等方面的描述。工作单元工作单元 4：连贯性：连贯性评估者应检查应检查ISPP，以确定信息系统描述是连贯的。如果信息系统描述的陈述结构和正文能为 TOE的目标读者（即评估者和用户）理解的话，信息系统描述就是连贯的。工作单元工作单元 5：一致性：一致性a)评估者应检查应检查ISPP，

35、以确定 TOE 的描述是内在一致的。提醒评估者注意的是，ISPP 的这一节仅用于定义 TOE 的一般目的。一致性分析指南见附录 A.1。b)评估者应检查应检查ISPP，以确定信息系统描述与 ISPP 的其它部分是一致的。评估者尤其应确定信息系统描述不包括那些评估范围以外的安全威胁、安全特征或 TOE 的配置。一致性分析指南见附录 A.1。8.4.3安全环境的评估8.4.3.1目的本条的目的是确定在ISPP中安全环境的陈述是否为有关TOE及其预期应用环境的安全问题提供了清晰、一致的定义。8.4.3.2输入ISPP 文档。8.4.3.3评估行为工作单元工作单元 1：假设：假设评估者应检查应检查安全

36、环境的陈述，以确定它标明并解释了所有假设。这些假设可以分成 TOE 预期使用方面的假设和 TOE 使用环境方面的假设。GB/T XXXXX20XX14a)评估者应确定 TOE 预期使用的假设阐明了 TOE 预期使用的各个方面，如：TOE 预期应用，需要 TOE 保护的资产的潜在价值，以及使用 TOE 可能存在的限制。b)评估者应确定 ISPP 中对 TOE 预期使用的所有假设都进行了详细解释，以保证用户确定其预期使用与这些假设相匹配。评估者确定 TOE 使用环境的假设包括物理、人员、连接性方面：1)物理方面：包括为了使 TOE 以安全方式行使其功能，而对 TOE 的物理位置或附加的外围设施而做

37、的所有假设。例如：假设管理员控制台严格限制在管理员个人范围内；假设 TOE 所有文件的存储只能在 TOE 运行的工作站上进行。2)人员方面：包括为了使 TOE 以安全方式行使其功能，而对在安全环境内的用户和 TOE 管理员，或其他个人（包括具有潜在威胁的主体）所做的所有假设。例如：假设用户具有特殊技能或专门技术；或用户具有确定的最小权限；管理员每月更新防病毒数据库。3)连接性方面：包括为了使 TOE 以安全方式行使其功能，而对 TOE 与其它信息系统或产品（硬件、软件、固件或它们的组合）之间连接的所有假设。例如：假设存储 TOE 产生的日志文件至少需要 100MB 的外部磁盘空间；假设 TOE

38、 是在特定工作站上运行的唯一的非操作系统应用程序；假设 TOE 的软驱是禁用的；假设 TOE不会连接到任何不可信的网络。工作单元工作单元 2：威胁：威胁评估者应确定应确定TOE 使用环境的所有假设都得到详细的解释，使用户能够确定他们的预期环境与假设环境相匹配。a)如果没有清楚地理解这些假设，最终可能导致 TOE 在不能安全行使其功能的环境中使用。评估者应检查安全环境的陈述，以确定所有威胁都被标识并得以解释。b)如果 TOE 和其环境安全目的只源于组织的安全策略和假设，那么 ISPP 中就可以不含安全威胁陈述，如果 ISPP 不包括安全威胁陈述，则该工作单元不适用，并视为满足。c)评估者应确定所

39、有已标识的安全威胁都用已标识安全威胁主体、攻击和攻击的资产的术语进行了清楚的解释。d)评估者还应确定安全威胁主体可在专业技术、可用资源和动机等方面具有表征，攻击可在攻击方法、可利用的脆弱性和时机等方面具有表征。工作单元工作单元 3：组织安全策略：组织安全策略评估者应检查应检查安全环境陈述，以确定它标识并解释了所有组织安全策略。如果 TOE 及其环境的安全目的只源于假设和威胁，那么 ISPP 中就可以不包含组织安全策略。如果ISPP 中不包含组织安全策略陈述，则该工作单元不适用，并视为满足。a)评估者应确定组织安全策略陈述是否遵循 TOE 及其环境的必须遵守的规则、惯例或指南，这些规则、惯例或指

40、南是由控制 TOE 使用环境的组织制定的。例如，组织安全策略可能要求口令生成和加密应符合国家政府制定的标准。b)评估者应确定 ISPP 中对所有组织安全策略都进行了详细解释，以便读者能够清晰的理解以及在允许跟踪安全目的时，必须对安全策略进行清楚表述。工作单元工作单元 4：连贯性：连贯性评估者应检查应检查安全环境的陈述，以确定它是连贯的。如果安全环境描述的结构和正文能为 TOE 的目标读者（即评估者和用户）理解的话，安全环境描述就是连贯的。GB/T XXXXX20XX15工作单元工作单元 5：一致性：一致性评估者应检查应检查安全环境的表述，以确定它是内在一致的。表征安全环境内在不一致性的示例：a

41、)安全环境的表述包含这样一种威胁，其攻击方法不在威胁主体的能力范围内；b)安全环境的表述包含“TOE 不与因特网相连”这样的组织安全策略，和其威胁主体是来自因特网的入侵者的威胁。一致性分析指南见附录 A.1。8.4.4安全保障目的的评估8.4.4.1目的本条的目的是确定安全目的描述是否完整和一致，并确定安全目的是否能对抗已标识的威胁，达到确定的组织安全策略并遵循规定的假设。8.4.4.2输入ISPP 文档。8.4.4.3评估行为工作单元工作单元 1：安全环境：安全环境评估者应检查应检查安全保障目的陈述，确认其是否定义了 TOE 及其环境的安全保障目的。评估者应确定是否明确地说明每个安全保障目的

42、的适用对象。工作单元工作单元 2：连贯性：连贯性评估者应检查应检查安全保障目的的表述，以确定它是连贯的。如果安全保障目的的正文和陈述结构能为其目标读者（如评估者和用户）所理解，那么安全保障目的的表述就是连贯的。工作单元工作单元 3：完备性：完备性评估者应检查应检查安全保障目的的表述，以确定它是完备的。如果安全保障目的足以对抗所有已标识的安全威胁，并能覆盖所有已标识的组织安全策略和假设，那么安全保障目的是完备的。工作单元工作单元 4：一致性：一致性评估者应检查应检查安全保障目的的表述，以确定它是内在一致的。如果安全保障目的之间不相冲突，安全保障目的表述就是内在一致的。有这样一个冲突的例子：两个安

43、全保障目的，一个是“用户身份信息永远不会被发布”，另一个则是“其它用户可以获得该用户的身份信息”。一致性分析指南见附录 A.1。8.4.5安全保障要求的评估8.4.5.1目的本条的目的是确定安全保障要求（包括信息系统安全保障技术要求、信息系统安全保障管理要求、信息系统安全保障工程要求）是否完整和一致，并为信息系统的建设提供充分的依据，以达到其安全保GB/T XXXXX20XX16障目的。8.4.5.2输入ISPP 文档。8.4.5.3评估行为工作单元工作单元 1：概要描述：概要描述评估者应核查应核查安全保障要求的叙述，是否给出了信息系统整体的安全保障要求的概要性描述；工作单元工作单元 2：安全

44、技术保障要求：安全技术保障要求ISPP 中的安全技术保障要求评估主要包括：a)评估者应核查应核查安全技术保障要求的叙述，是否标识了从 GB/T 20274.2-2008 安全技术保障要求组件中抽取的那些安全技术组件和安全技术能力成熟度要求。评估者应确定从 GB/T 20274.2-2008 安全技术保障要求组件中抽取的所有安全技术保障要求以及安全技术能力成熟度要求是否都已明确标识。b)评估者应核查应核查涉及到的每个 TOE 安全技术保障要求组件的正确性。评估者应确定 GB/T 20274.2-2008 是否包含文中涉及到的安全技术保障要求组件。c)评估者应核查应核查从 GB/T 20274.2

45、-2008 中抽取出的安全技术保障要求组件，在 ISPP 中是否得以正确重现。评估者应确定在没有对允许操作进行检查的情况下，安全技术保障要求叙述是否正确地重现了这些要求。工作单元工作单元 3：安全管理保障要求：安全管理保障要求ISPP 中的安全管理保障要求评估主要包括：a)评估者应核查应核查安全管理保障要求的叙述，是否标识了从 GB/T 20274.3-2008 安全管理保障要求组件中抽取的那些安全管理组件和安全管理能力成熟度要求。评估者应确定从 GB/T 20274.3-2008 安全管理保障要求组件中抽取的所有安全管理保障要求以及安全管理能力成熟度要求是否都已明确标识。b)评估者应核查应核

46、查涉及到的每个安全管理保障要求组件的正确性。评估者应确定 GB/T 20274.3-2008 是否包含文中涉及到的安全管理保障要求组件。c)评估者应核查应核查从 GB/T 20274.3-2008 中抽取出的安全管理保障要求组件，在 ISPP 中是否得以正确重现。评估者应确定在没有对允许操作进行检查的情况下，安全管理保障要求叙述是否正确地重现了这些要求。工作单元工作单元 4：安全工程保障要求：安全工程保障要求ISPP 中的安全工程保障要求评估主要包括：a)评估者应核查应核查安全工程保障要求的叙述，是否标识了从 GB/T 20274.4-2008 安全工程保障要求组件中抽取的那些安全工程组件和安

47、全工程能力成熟度要求。评估者应确定从 GB/T 20274.4-2008 安全工程保障要求组件中抽取的所有安全工程保障要求以及安全工程能力成熟度要求是否都已明确标识。b)评估者应核查应核查涉及到的每个安全工程保障要求组件的正确性。评估者应确定 GB/T 20274.4-2008 是否包含文中涉及到的安全工程保障要求组件。c)评估者应核查应核查从 GB/T 20274.4-2008 中抽取出的安全工程保障要求组件，在 ISPP 中是否得以GB/T XXXXX20XX17正确重现。评估者应确定在没有对允许操作进行检查的情况下，安全工程保障要求叙述是否正确地重现了这些要求。工作单元工作单元 5：组件

48、操作：组件操作ISPP 中的组件操作主要包括：a)评估者应核查应核查信息系统安全保障要求的所有操作都被标识。GB/T 20274.2-2008 技术组件允许的操作是赋值、反复、选择和细化。赋值和选择操作只允许用于组件中特别指定的地方。反复和细化能用于所有技术组件。GB/T 20274.3-2008 管理组件和 GB/T 20274.4-2008 工程组件允许的操作是反复和细化。b)评估者应确定应确定所有操作都在使用该操作的组件中被标出。完成的操作和未完成的操作应通过排版、周围的文本或其它方式加以明显区分。c)评估者应检查应检查信息系统安全保障要求的表述，确定是否正确实施了操作。评估者应比较每条

49、陈述和导出陈述的元素，以确定：1）对于赋值操作，所选的参数或变量值符合赋值要求的指定类型；2）对于选择操作，选择项是在元素选择部分中指定的一项或多项；评估者也应确定所选项是否符合要求；3）对于细化操作，组件以这样的方式细化：满足细化要求的 TOE 也满足非细化要求。如果细化的要求超过该界限，就被认为是扩展要求；4）对于反复操作，组件内的每个反复操作各不相同（至少一个组件的某个元素不同于另一个组件的对应元素），或这个组件应用于 TOE 的不同部分。d)评估者应检查应检查是否标识了 ISPP 中信息系统安全保障要求的所有未完成操作。评估者应确定所有操作都在使用该操作的组件中被标出。完成的操作和未完

50、成的操作应通过排版、周围的文本或其它方式加以明显区分。工作单元工作单元 6：依赖性：依赖性ISPP 中的组件依赖性主要包括：a)评估者应检查应检查安全保障要求的陈述，以确定安全保障要求使用的组件间的要求的依赖性被满足。依赖性可以通过安全保障要求陈述中的相关组件的内涵（或分出的层次）来满足，或作为一个要求，由 TOE 的运行环境来满足。尽管 GB/T 20274 通过依赖性内涵为相关分析提供支持，但不应用来证明没有其它依赖性。如：涉及“所有客体”或“所有主体”的元素与列出这些客体或主体的另一个元素或元素集的细化间存在依赖性。运行环境中必要的安全要求的依赖性应在 ISPP 中陈述并得到满足。b)评