邓辉， 刘晖， 张宝峰， 毕海英

（中国信息安全测评中心，北京 100085）

技研学术·Technology & Research

信息技术安全性评估准则GB/T18336的新变化

邓辉， 刘晖， 张宝峰， 毕海英

（中国信息安全测评中心，北京 100085）

等同采用ISO/IEC15408的信息技术安全性评估准则GB/T18336已经过多次版本更新，其全新版本GB/T18336-2015将于2015年发布。明确标准新变化及未来发展趋势，对于理解标准并依据标准开展信息技术产品的安全测评，以及提高信息安全水平来说，具有重要意义。

信息技术；安全测评；ISO/IEC15408；GB/T18336；变化

0 引言

1946年，第一台数字计算机ENIAC问世标志信息时代的开始。如今，信息化普及及其在全球的快速发展，催生信息需求快速增长，由此产生的信息产品和信息服务成为各个国家、地区、企业、单位、家庭、个人活动中不可或缺的一部分，并日益改变着传统的社会模式，成为支撑经济活动和社会生活的基础。

在信息技术渗透社会的各个角落，为社会带来各种便利的同时，其自身安全性是否得到保障，将是所有的产品开发者和使用者在过去，现在以及未来必须面对的问题［1］。信息安全问题产生的主要原因在于信息技术存在着漏洞。通常，漏洞可以指技术自身存在的缺陷，或者是它们在使用的过程中产生的问题。而绝大部分的信息安全事件都是攻击者借助漏洞发起的，并且近些年来此类事件有愈演愈烈的态势，产生的影响也越来越大［2］。为此，亟需缓解信息技术产品的安全风险，提高开发者的信心及增强使用者对产品的安全依赖。但是，社会分工的不同导致开发者和使用者之间对于信息技术产品的了解存在着不对称关系，造成使用者对于信息技术的安全性判断大多数来源于开发者所提供的安全技术报告。而信息技术的安全性评估的价值在于通过评估人员的安全分析，增强使用者使用信息技术产品时的安全依赖，满足使用者的安全要求。

在我国，大部分信息技术安全性评估基于相关信息安全标准体系。我国的信息安全标准体系由基础类、技术机制类、应用类以及安全管理类四部分组成。信息技术安全性评估准则GB/T 18336是体系的重要成员［3-4］，等同采用信息技术安全通用评估准则 ISO/IEC15408（Common Criteria for Information Technology Security Evaluation：CC标准）。基于可信计算机系统评估标准TCSEC（Trusted Computer System Evaluation Criteria）、信息技术安全评估标准ITSEC（Information Technology Security Evaluation Criteria）、可信计算机产品评估标准CTCPEC（Can-adian Trusted Computer Product Evaluation Criteria），以及信息技术安全评估联邦标准FC（Federal Crite-ria），CC标准在1993年6月由美国、加拿大以及欧洲四国共同协商并且起草通过，其目的在于建立国际通用的信息技术产品和系统安全标准，以改善信息技术安全产品和系统在全世界的可用性。1996年，六国七方包括英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所共同签署了《信息技术安全评估通用准则》，即CC1.0。1998年，美国、英国、加拿大、法国和德国共同签署了书面认证协议，即CC2.0，并于 1999年成为国家标准 ISO/IEC 15408。随后，ISO/ IEC15408陆续进行了几次版本的更新。为满足我国信息技术产品的安全需求，等同采用ISO/IEC15408的国家标准GB/T18336也相应进行更新。

1 CB/T18336的新变化

GB/T18336由中国信息安全测评中心作为主要起草单位起草，国家质量监督检验检疫总局以及国家标准化管理委员会发布。目的在于从信息技术产品的保密性、完整性和可用性出发，对评估对象实施安全评估并形成评估报告，帮助开发者运用GB/ T 18336思想完善评估对象的安全性，满足使用者安全要求，增强使用者对评估对象的依赖程度。目前，GB/T18336以及基于GB/ T18336推出的多个PP被广泛应用于我国网络及软件类、智能卡类等信息技术产品的安全测评。作为GB/T18336的最新版本，等同采用CC3.1的GB/T18336-2015将在今年发布。在此国标发布前，我们将先睹为快，针对GB/T18336的新变化做详细的解读，以便于基于此标准的信息技术产品安全测评。

相比于GB/T18336-2008，新版本在各部分的变化表现如下：

第一部分：

（1）丰富术语及定义。对术语进行了统一，对相关定义进行了明确，避免二义性。GB/T18336-2008中，安全功能要求和安全保证要求中涉及的部分重要的信息技术术语和定义未提前阐述，造成读者对标准的快速理解存在难度。在新版本 GB/T 18336-2015的第一部分，对此问题进行了针对性解决，将GB/ T18336-2008中的“术语和定义”细分为六个部分，包括CC中一般的术语和定义、ADV类相关的术语和定义、AGD类相关的术语和定义、ALC类相关的术语和定义、AVA类相关的术语和定义、ACO类相关的术语和定义。

（2）明确TOE具体涵义。增加对 TOE范围、TOE的不同表示形式、不同配置的概要说明。

（3）简化一般模型。从TOE自身安全和TOE运行环境安全出发，考虑安全保护措施。

（4）增强GB/T18336的开放性、灵活性。增加“剪裁安全要求”，对组件操作、组件间依赖关系、组建扩展进行分别说明。

（5）明确区分PP、ST、TOE评估内容。

（6）增加“保护轮廓和包”，详细阐述PP、ST、TOE评估三者间的关系。

（7）增加“评估结果”，将ST与PP分开，分别介绍 PP、ST、TOE评估结果。

（8）附录A明确ST评估内容，并添加ST与 ASE（安全目标评估）类和APE（保护轮廓评估）类之间的对应关系。

（9）附录B明确PP评估内容，并添加PP与ASE（安全目标评估）类和APE（保护轮廓评估）类之间的对应关系。

（10）附录C增加组件操作说明，以及怎样定义扩展组件的说明。

（11）附录D增加PP符合性声明。

第二部分：

（1）重新界定FPT（TSF保护）类涉及范围。删除FPT类中的两个族：FPT_SEP（域分离）和 FPT_RVM（引用仲裁）。将这两个族对应的相关安全要求添加进ADV（开发）类的ADV_ARC（安全结构）族中。

第三部分：

（1）将“安全保证要求”更改为“安全保障要求”。

（2）调整“安全保证类”。优化内容，删除ASE/APE（安全目标评估 /保护轮廓评估）中重复内容，明确假设、威胁、组织安全策略、安全目标符合性评判方法。

（3）解决旧版本中经常出现ST/PP文档通过评估，但不能确定该TOE是否满足其安全要求的问题，引入TOE概要规范用于阐述TOE是否满足安全要求。

（4）重新界定类，增强不同类间的区分度。重新界定及组织ACM/ADO/AGD/ALC（配置管理/交付和运行/指导性文档/生命周期支持）类，将此四类合并为ALC和AGD两类。其中，ALC涉及开发场所相关的安全保证要求，AGD涉及用户场所相关的安全保证要求。此变化解决了旧版本中对此四类界限定义不清的问题。

（5）重新界定组件，提高可操作性以及不同评估间ADV类的区分度。改进ADV（开发）类，解决部分组件界定不清晰，技术上难以操作的问题，区分不同保证级对于ADV类的要求。

（6）引入针对性测试内容。ATE（测试）类针对 ADV类变化内容做对应性调整，如在ATE_COV族引入TSFI测试。

（7）提高测评过程可操作性。AVA（脆弱性评估）类精简为仅剩一个AVA_VAN（脆弱性分析）族。删除技术操作难度较大的AVA_SOF（TOE安全功能强度）族，将AVA_MSU（误用分析）族添加进AGD类中。

（8）解决旧版本没有涉及的组合产品安全测评问题，降低测评重复工作量，提高测评工作效率。引入ACO（组合）类，包含ACO_COR（组合基本原理）、ACO_DEV（开发证据）、ACO_REL（组件之间的依赖性）、ACO_CTT（合成的 TOE测试）和 ACO_ VUL（组合脆弱性分析）六个族。

（9）重组评估保障级，增加不同评估保障级间的区分度。

2 CB/T18336-2015的典型特征

（1）减少二义性

在描述方式的选择上，GB/T18336标准采用自然语言对相关内容进行描述，自然语言容易产生二义性，主要体现在术语定义上，如“安全目的”、“安全目标”等等。如何实现快速区别和界定这些术语定义，不出现二义性，便于开发者理解和评估人员使用是新版本GB/T18336-2015需要应对的问题。对此，新版本第一部分已做出针对性调整，对于术语定义进行了明确和统一，增加了不同术语间的区分度。

（2）减少冗余

在GB/T18336旧版本中，部分安全要求设置存在冗余问题，造成开发者提供重复性的TOE说明文档，增加评估者投入不必要的评估精力，降低了标准的实用性和信息技术产品评估的整体效率。对此，GB/T 18336-2015对此进行了改进。

（3）增加区分度

旧版本中，PP评估与ST评估交叉陈述、安全保障类内容交叉、评估保障级区分度不高等问题造成标准可理解性差，存在重复评估等问题，GB/T 18336-2015对此进行了改进，如分开PP与ST、重组安全保障类。

（4）增强可理解性

GB/T18336涉及大量的术语和定义，旧版本对此没有完全阐述，造成标准使用者对标准的快速理解存在难度。GB/T18336-2015对此进行了改进，如对TOE涵义进行了明确界定。

（5）增强可操作性

GB/T18336-2015删除或调整了旧版本的部分内容在技术上难以操作的问题，例如删除AVA类中的AVA_SOF族，此族涉及安全功能强度形式的说明，操作难度大。

（6）增加针对性内容

为应对信息技术的快速发展变化，GB/T18336-2015新引入了组件扩展、TSFI测评、组合测评等内容，GB/T18336的灵活性、开放性以及实用性得到扩大化。

3 GB/T18336未来变化趋势

l未来，GB/T18336的主要关注点将涉及以下几个方面：

（1）扩大应用范围

GB/T18336作为评估信息技术产品及系统安全特性的基础准则，已被应用于部分国内开发者所开发的相关产品及系统。随着云计算、大数据、移动互联网等新技术新应用的发展，应扩大GB/T18336的应用范围，发挥标准自身的优势，基于GB/T18336加大信息技术产品及系统的安全测评力度，推出更多的针对特定产品及系统的PP。

（2）实现高级别测评

GB/T18336针对不同TOE的安全需求定义了不同的安全保证级别，共7级。评估级别越高表示对TOE开展的评估内容越多，则TOE的安全可依赖性越高。目前，针对网络及软件类TOE的安全测评可达到EAL3+，针对智能卡类TOE的安全测评可达到EAL4+。涉及形式验证的高级别测评亟待实现，形式验证作为一种具有严格语法和语义、描述精确、自动化程度高的数学方法，可实现部分测评的可判定推导，增加测评保障。

4 结语

信息技术安全性评估准则GB/T18336是通用统一的信息技术产品安全评估标准，详细阐述了评估对象的所有者、评估对象所需要保护的资产、资产面临的威胁和风险、需采取的对策、需满足的安全要求等概念及其之间的关系。为推进对此标准的认知、理解和推广应用，本文对此标准包含的三部分内容包括：简介和一般模型、安全功能组件、安全保障组件的新变化进行了解读，这些变化主要集中在标准的内容、描述方式、适用程度、应用范围等几个方面。同时，为应对信息技术产品的不断发展，本文对标准未来的发展趋势也进行了展望。2015年，依托此标准开展信息技术产品的高级别测评将得到研究并推出。

［1］ 赵庆祥，刘自强，金勇杰.信息时代计算机网络安全探析［J］.信息安全与通信保密，2009（8）：74-76.

［2］ 吴世忠，郭涛，董国伟等.软件漏洞分析技术［M］.科学出版社，2014.

［3］ 李守鹏，曾岩.信息技术安全评估通用准则（CC）的主要特征［J］.网络安全技术与应用.2002（1）：146-154.

［4］ 朱岩，杨永田，张玉清等.通用标准CC的研究与实现［J］.小型微型计算机系统.2005，7（26）：1174-1178.

NeW Changes of IT Security Evaluation Criteria GB/T18336

DENG Hui，LIU Hui，ZHANG Bao-feng，BI Hai-ying
（China Information Technology Security Evaluation Center，Beijing，100085，China）

Through repeated updating of information technology security evaluation criteria GB/T18336 based on identical application of ISO/IEC 15408，a completely new version of GB/T18336-2015 is going to be released in 2015.To clear the new changes and future development trends is of great significance in understanding the standard，evaluating information technology products and raising infosec level in accordance with standard.

information technology；security evaluation；ISO/IEC15408；GB/T18336；change

TP309

A

1009-8054（2015）10-0107-03

邓 辉（1985—），女，博士，助理研究员，主要研究方向为信息安全；

刘 晖（1976—），女，博士，副研究员，主要研究方向为信息安全；

张宝峰（1983—），男，硕士，副研究员，主要研究方向为信息安全；

毕海英（1981—），女，硕士，助理研究员，主要研究方向为信息安全。■

2015-06-01

国家自然科学基金（No.61472448）