鄧輝， 劉暉， 張寶峰， 畢海英

（中國信息安全測評中心，北京 100085）

技研學術(shù)·Technology & Research

信息技術(shù)安全性評估準則GB/T18336的新變化

鄧輝， 劉暉， 張寶峰， 畢海英

（中國信息安全測評中心，北京 100085）

等同采用ISO/IEC15408的信息技術(shù)安全性評估準則GB/T18336已經(jīng)過多次版本更新，其全新版本GB/T18336-2015將于2015年發(fā)布。明確標準新變化及未來發(fā)展趨勢，對于理解標準并依據(jù)標準開展信息技術(shù)產(chǎn)品的安全測評，以及提高信息安全水平來說，具有重要意義。

信息技術(shù)；安全測評；ISO/IEC15408；GB/T18336；變化

0 引言

1946年，第一臺數(shù)字計算機ENIAC問世標志信息時代的開始。如今，信息化普及及其在全球的快速發(fā)展，催生信息需求快速增長，由此產(chǎn)生的信息產(chǎn)品和信息服務成為各個國家、地區(qū)、企業(yè)、單位、家庭、個人活動中不可或缺的一部分，并日益改變著傳統(tǒng)的社會模式，成為支撐經(jīng)濟活動和社會生活的基礎。

在信息技術(shù)滲透社會的各個角落，為社會帶來各種便利的同時，其自身安全性是否得到保障，將是所有的產(chǎn)品開發(fā)者和使用者在過去，現(xiàn)在以及未來必須面對的問題［1］。信息安全問題產(chǎn)生的主要原因在于信息技術(shù)存在著漏洞。通常，漏洞可以指技術(shù)自身存在的缺陷，或者是它們在使用的過程中產(chǎn)生的問題。而絕大部分的信息安全事件都是攻擊者借助漏洞發(fā)起的，并且近些年來此類事件有愈演愈烈的態(tài)勢，產(chǎn)生的影響也越來越大［2］。為此，亟需緩解信息技術(shù)產(chǎn)品的安全風險，提高開發(fā)者的信心及增強使用者對產(chǎn)品的安全依賴。但是，社會分工的不同導致開發(fā)者和使用者之間對于信息技術(shù)產(chǎn)品的了解存在著不對稱關系，造成使用者對于信息技術(shù)的安全性判斷大多數(shù)來源于開發(fā)者所提供的安全技術(shù)報告。而信息技術(shù)的安全性評估的價值在于通過評估人員的安全分析，增強使用者使用信息技術(shù)產(chǎn)品時的安全依賴，滿足使用者的安全要求。

在我國，大部分信息技術(shù)安全性評估基于相關信息安全標準體系。我國的信息安全標準體系由基礎類、技術(shù)機制類、應用類以及安全管理類四部分組成。信息技術(shù)安全性評估準則GB/T 18336是體系的重要成員［3-4］，等同采用信息技術(shù)安全通用評估準則 ISO/IEC15408（Common Criteria for Information Technology Security Evaluation：CC標準）?；诳尚庞嬎銠C系統(tǒng)評估標準TCSEC（Trusted Computer System Evaluation Criteria）、信息技術(shù)安全評估標準ITSEC（Information Technology Security Evaluation Criteria）、可信計算機產(chǎn)品評估標準CTCPEC（Can-adian Trusted Computer Product Evaluation Criteria），以及信息技術(shù)安全評估聯(lián)邦標準FC（Federal Crite-ria），CC標準在1993年6月由美國、加拿大以及歐洲四國共同協(xié)商并且起草通過，其目的在于建立國際通用的信息技術(shù)產(chǎn)品和系統(tǒng)安全標準，以改善信息技術(shù)安全產(chǎn)品和系統(tǒng)在全世界的可用性。1996年，六國七方包括英國、加拿大、法國、德國、荷蘭、美國國家安全局和美國標準技術(shù)研究所共同簽署了《信息技術(shù)安全評估通用準則》，即CC1.0。1998年，美國、英國、加拿大、法國和德國共同簽署了書面認證協(xié)議，即CC2.0，并于 1999年成為國家標準 ISO/IEC 15408。隨后，ISO/ IEC15408陸續(xù)進行了幾次版本的更新。為滿足我國信息技術(shù)產(chǎn)品的安全需求，等同采用ISO/IEC15408的國家標準GB/T18336也相應進行更新。

1 CB/T18336的新變化

GB/T18336由中國信息安全測評中心作為主要起草單位起草，國家質(zhì)量監(jiān)督檢驗檢疫總局以及國家標準化管理委員會發(fā)布。目的在于從信息技術(shù)產(chǎn)品的保密性、完整性和可用性出發(fā)，對評估對象實施安全評估并形成評估報告，幫助開發(fā)者運用GB/ T 18336思想完善評估對象的安全性，滿足使用者安全要求，增強使用者對評估對象的依賴程度。目前，GB/T18336以及基于GB/ T18336推出的多個PP被廣泛應用于我國網(wǎng)絡及軟件類、智能卡類等信息技術(shù)產(chǎn)品的安全測評。作為GB/T18336的最新版本，等同采用CC3.1的GB/T18336-2015將在今年發(fā)布。在此國標發(fā)布前，我們將先睹為快，針對GB/T18336的新變化做詳細的解讀，以便于基于此標準的信息技術(shù)產(chǎn)品安全測評。

相比于GB/T18336-2008，新版本在各部分的變化表現(xiàn)如下：

第一部分：

（1）豐富術(shù)語及定義。對術(shù)語進行了統(tǒng)一，對相關定義進行了明確，避免二義性。GB/T18336-2008中，安全功能要求和安全保證要求中涉及的部分重要的信息技術(shù)術(shù)語和定義未提前闡述，造成讀者對標準的快速理解存在難度。在新版本 GB/T 18336-2015的第一部分，對此問題進行了針對性解決，將GB/ T18336-2008中的“術(shù)語和定義”細分為六個部分，包括CC中一般的術(shù)語和定義、ADV類相關的術(shù)語和定義、AGD類相關的術(shù)語和定義、ALC類相關的術(shù)語和定義、AVA類相關的術(shù)語和定義、ACO類相關的術(shù)語和定義。

（2）明確TOE具體涵義。增加對 TOE范圍、TOE的不同表示形式、不同配置的概要說明。

（3）簡化一般模型。從TOE自身安全和TOE運行環(huán)境安全出發(fā)，考慮安全保護措施。

（4）增強GB/T18336的開放性、靈活性。增加“剪裁安全要求”，對組件操作、組件間依賴關系、組建擴展進行分別說明。

（5）明確區(qū)分PP、ST、TOE評估內(nèi)容。

（6）增加“保護輪廓和包”，詳細闡述PP、ST、TOE評估三者間的關系。

（7）增加“評估結(jié)果”，將ST與PP分開，分別介紹 PP、ST、TOE評估結(jié)果。

（8）附錄A明確ST評估內(nèi)容，并添加ST與 ASE（安全目標評估）類和APE（保護輪廓評估）類之間的對應關系。

（9）附錄B明確PP評估內(nèi)容，并添加PP與ASE（安全目標評估）類和APE（保護輪廓評估）類之間的對應關系。

（10）附錄C增加組件操作說明，以及怎樣定義擴展組件的說明。

（11）附錄D增加PP符合性聲明。

第二部分：

（1）重新界定FPT（TSF保護）類涉及范圍。刪除FPT類中的兩個族：FPT_SEP（域分離）和 FPT_RVM（引用仲裁）。將這兩個族對應的相關安全要求添加進ADV（開發(fā)）類的ADV_ARC（安全結(jié)構(gòu)）族中。

第三部分：

（1）將“安全保證要求”更改為“安全保障要求”。

（2）調(diào)整“安全保證類”。優(yōu)化內(nèi)容，刪除ASE/APE（安全目標評估 /保護輪廓評估）中重復內(nèi)容，明確假設、威脅、組織安全策略、安全目標符合性評判方法。

（3）解決舊版本中經(jīng)常出現(xiàn)ST/PP文檔通過評估，但不能確定該TOE是否滿足其安全要求的問題，引入TOE概要規(guī)范用于闡述TOE是否滿足安全要求。

（4）重新界定類，增強不同類間的區(qū)分度。重新界定及組織ACM/ADO/AGD/ALC（配置管理/交付和運行/指導性文檔/生命周期支持）類，將此四類合并為ALC和AGD兩類。其中，ALC涉及開發(fā)場所相關的安全保證要求，AGD涉及用戶場所相關的安全保證要求。此變化解決了舊版本中對此四類界限定義不清的問題。

（5）重新界定組件，提高可操作性以及不同評估間ADV類的區(qū)分度。改進ADV（開發(fā)）類，解決部分組件界定不清晰，技術(shù)上難以操作的問題，區(qū)分不同保證級對于ADV類的要求。

（6）引入針對性測試內(nèi)容。ATE（測試）類針對 ADV類變化內(nèi)容做對應性調(diào)整，如在ATE_COV族引入TSFI測試。

（7）提高測評過程可操作性。AVA（脆弱性評估）類精簡為僅剩一個AVA_VAN（脆弱性分析）族。刪除技術(shù)操作難度較大的AVA_SOF（TOE安全功能強度）族，將AVA_MSU（誤用分析）族添加進AGD類中。

（8）解決舊版本沒有涉及的組合產(chǎn)品安全測評問題，降低測評重復工作量，提高測評工作效率。引入ACO（組合）類，包含ACO_COR（組合基本原理）、ACO_DEV（開發(fā)證據(jù)）、ACO_REL（組件之間的依賴性）、ACO_CTT（合成的 TOE測試）和 ACO_ VUL（組合脆弱性分析）六個族。

（9）重組評估保障級，增加不同評估保障級間的區(qū)分度。

2 CB/T18336-2015的典型特征

（1）減少二義性

在描述方式的選擇上，GB/T18336標準采用自然語言對相關內(nèi)容進行描述，自然語言容易產(chǎn)生二義性，主要體現(xiàn)在術(shù)語定義上，如“安全目的”、“安全目標”等等。如何實現(xiàn)快速區(qū)別和界定這些術(shù)語定義，不出現(xiàn)二義性，便于開發(fā)者理解和評估人員使用是新版本GB/T18336-2015需要應對的問題。對此，新版本第一部分已做出針對性調(diào)整，對于術(shù)語定義進行了明確和統(tǒng)一，增加了不同術(shù)語間的區(qū)分度。

（2）減少冗余

在GB/T18336舊版本中，部分安全要求設置存在冗余問題，造成開發(fā)者提供重復性的TOE說明文檔，增加評估者投入不必要的評估精力，降低了標準的實用性和信息技術(shù)產(chǎn)品評估的整體效率。對此，GB/T 18336-2015對此進行了改進。

（3）增加區(qū)分度

舊版本中，PP評估與ST評估交叉陳述、安全保障類內(nèi)容交叉、評估保障級區(qū)分度不高等問題造成標準可理解性差，存在重復評估等問題，GB/T 18336-2015對此進行了改進，如分開PP與ST、重組安全保障類。

（4）增強可理解性

GB/T18336涉及大量的術(shù)語和定義，舊版本對此沒有完全闡述，造成標準使用者對標準的快速理解存在難度。GB/T18336-2015對此進行了改進，如對TOE涵義進行了明確界定。

（5）增強可操作性

GB/T18336-2015刪除或調(diào)整了舊版本的部分內(nèi)容在技術(shù)上難以操作的問題，例如刪除AVA類中的AVA_SOF族，此族涉及安全功能強度形式的說明，操作難度大。

（6）增加針對性內(nèi)容

為應對信息技術(shù)的快速發(fā)展變化，GB/T18336-2015新引入了組件擴展、TSFI測評、組合測評等內(nèi)容，GB/T18336的靈活性、開放性以及實用性得到擴大化。

3 GB/T18336未來變化趨勢

l未來，GB/T18336的主要關注點將涉及以下幾個方面：

（1）擴大應用范圍

GB/T18336作為評估信息技術(shù)產(chǎn)品及系統(tǒng)安全特性的基礎準則，已被應用于部分國內(nèi)開發(fā)者所開發(fā)的相關產(chǎn)品及系統(tǒng)。隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術(shù)新應用的發(fā)展，應擴大GB/T18336的應用范圍，發(fā)揮標準自身的優(yōu)勢，基于GB/T18336加大信息技術(shù)產(chǎn)品及系統(tǒng)的安全測評力度，推出更多的針對特定產(chǎn)品及系統(tǒng)的PP。

（2）實現(xiàn)高級別測評

GB/T18336針對不同TOE的安全需求定義了不同的安全保證級別，共7級。評估級別越高表示對TOE開展的評估內(nèi)容越多，則TOE的安全可依賴性越高。目前，針對網(wǎng)絡及軟件類TOE的安全測評可達到EAL3+，針對智能卡類TOE的安全測評可達到EAL4+。涉及形式驗證的高級別測評亟待實現(xiàn)，形式驗證作為一種具有嚴格語法和語義、描述精確、自動化程度高的數(shù)學方法，可實現(xiàn)部分測評的可判定推導，增加測評保障。

4 結(jié)語

信息技術(shù)安全性評估準則GB/T18336是通用統(tǒng)一的信息技術(shù)產(chǎn)品安全評估標準，詳細闡述了評估對象的所有者、評估對象所需要保護的資產(chǎn)、資產(chǎn)面臨的威脅和風險、需采取的對策、需滿足的安全要求等概念及其之間的關系。為推進對此標準的認知、理解和推廣應用，本文對此標準包含的三部分內(nèi)容包括：簡介和一般模型、安全功能組件、安全保障組件的新變化進行了解讀，這些變化主要集中在標準的內(nèi)容、描述方式、適用程度、應用范圍等幾個方面。同時，為應對信息技術(shù)產(chǎn)品的不斷發(fā)展，本文對標準未來的發(fā)展趨勢也進行了展望。2015年，依托此標準開展信息技術(shù)產(chǎn)品的高級別測評將得到研究并推出。

［1］ 趙慶祥，劉自強，金勇杰.信息時代計算機網(wǎng)絡安全探析［J］.信息安全與通信保密，2009（8）：74-76.

［2］ 吳世忠，郭濤，董國偉等.軟件漏洞分析技術(shù)［M］.科學出版社，2014.

［3］ 李守鵬，曾巖.信息技術(shù)安全評估通用準則（CC）的主要特征［J］.網(wǎng)絡安全技術(shù)與應用.2002（1）：146-154.

［4］ 朱巖，楊永田，張玉清等.通用標準CC的研究與實現(xiàn)［J］.小型微型計算機系統(tǒng).2005，7（26）：1174-1178.

NeW Changes of IT Security Evaluation Criteria GB/T18336

DENG Hui，LIU Hui，ZHANG Bao-feng，BI Hai-ying
（China Information Technology Security Evaluation Center，Beijing，100085，China）

Through repeated updating of information technology security evaluation criteria GB/T18336 based on identical application of ISO/IEC 15408，a completely new version of GB/T18336-2015 is going to be released in 2015.To clear the new changes and future development trends is of great significance in understanding the standard，evaluating information technology products and raising infosec level in accordance with standard.

information technology；security evaluation；ISO/IEC15408；GB/T18336；change

TP309

A

1009-8054（2015）10-0107-03

鄧 輝（1985—），女，博士，助理研究員，主要研究方向為信息安全；

劉 暉（1976—），女，博士，副研究員，主要研究方向為信息安全；

張寶峰（1983—），男，碩士，副研究員，主要研究方向為信息安全；

畢海英（1981—），女，碩士，助理研究員，主要研究方向為信息安全?！?/p>

2015-06-01

國家自然科學基金（No.61472448）